Joker分析 - GooglePlay上的间谍和高级订阅机器人
在过去的几周中,我们一直在Google游戏中观察到新的特洛伊木马。到目前为止,我们已经在24个应用程序中检测到它,总共安装了472,000多个。The malware — going by the name “the Joker” (which was borrowed from one of the C&C domain names) — delivers a second stage component, which silently simulates the interaction with advertisement websites, steals the victim’s SMS messages, the contact list and device info.
与广告网站的自动交互包括点击模拟和输入高级服务订阅的授权代码。例如,在丹麦,小丑可以默默地签下受害者/周/周的服务(约6,71欧元)。该策略是通过自动化与Premium优惠网页的必要互动,输入操作员的要约代码,然后等待带有确认代码的SMS消息并使用正则表达式提取的SMS消息。最后,小丑将提取的代码提交给报价的网页,以授权高级订阅。
小丑恶意软件仅攻击目标国家。大多数受感染的应用程序都包含移动国家代码(MCC)列表,受害者必须使用其中一个国家 /地区的SIM卡才能获得第二阶段有效载荷。但是,大多数发现的应用程序针对欧盟和亚洲国家,但是,一些应用程序允许任何国家加入。此外,大多数发现的应用程序都有额外的支票,这将确保在美国或加拿大境内运行时的有效载荷不会执行。C&C面板的UI和一些机器人的代码评论是用中文编写的,这可能是地理归因的提示。
37个目标国家的完整列表包括:澳大利亚,奥地利,比利时,巴西,中国,塞浦路斯,埃及,法国,德国,加纳,希腊,希腊,洪都拉斯,印度,印度尼西亚,爱尔兰,意大利,科威特,科威特,马来西亚,马来西亚,缅甸,缅甸,尼兰兹,诺威兰州,尼兰兹,尼兰兹,尼兰兹,尼兰兰州,,,,波兰,葡萄牙,卡塔尔,阿根廷共和国,塞尔维亚,新加坡,斯洛文尼亚,西班牙,瑞典,瑞士,泰国,泰国,土耳其,乌克兰,乌克兰,阿拉伯联合酋长国,英国和美国。
除了加载第二阶段DEX文件外,恶意软件还通过HTTP接收动态代码和命令,并通过JavaScript到Java回调运行该代码。这种方法为静态分析提供了额外的保护层,因为在这种情况下,许多说明并未在Google玩家的恶意应用程序中进行硬编码。
加载程序
在大多数应用程序中,开发人员将Joker初始化组件插入一个或另一个广告框架中。恶意代码的小包装通常包含:
•目标国家通过MCC检查
•最低限度C&C通信 - 足以报告感染并接收加密配置
•DEX解密和加载
•通知侦听器 - 当新的SMS消息到达时,该侦听器会捕获它,并为Core(第二阶段)组件发送广播以进行拾取。
通常,应用程序将包含一个所谓的“飞溅”屏幕 - 一个活动,该活动在后台执行各种初始化过程时会显示应用程序的徽标。一些小丑应用程序也使用此类活动进行初始化。
小丑采用所有配置/有效载荷/通信解析过程的自定义字符串混淆方案。下面的代码列表显示了一个混淆的MCC代码列表的示例,(default_country_iso)由下划线符号隔开。
初始化完成后,恶意软件将从有效负载分发C&C服务器下载一个混淆和AES加密配置。Joker使用另一个字符串方案组成了配置字符串解密的AES密钥,这将使应用程序的软件包名称与MCC代码字符串相连,并以特定的方式将符号调整。最终,第二阶段检索的设置解密了以下格式的消息:
#X#https://tb-eu-jet.oss-eu-central-1.aliyuncs.com/s8-all#X#18#X#32#X#com.plane.internal.entrance#X#初始化#X#http://joker2.dolphinsclean.com/#X#SWFYXB
上面的配置字符串包含有关第二阶段代码的必要信息 - 小丑的核心组件。被上面的配置字符串包含(排序):由3符号定界符分开:
1. Joker Core Dex文件的URL - 此文件被混淆
2. DE-OBFUSCATION“键” - 混淆的读取缓冲区的索引
3.初始化类名称 - 班级,该类实现初始化方法
4.初始化方法名称 - 加载时要调用哪种方法
5. C&C URL
6.广告系列标签
加载程序下载DEX并启动De-Obfuscation例程。上述例程一次以缓冲区128字节读取DEX文件。DE-OBFUSCATION“键”是此缓冲区的位置索引。对于每次迭代,例程仅在这些位置之间读取混淆的缓冲区的字节,并将其写入文件中,最后产生有效的DEX文件。
核
这个恶意软件套件以小而沉默的套件脱颖而出。它正在使用尽可能少的Java代码,因此产生了尽可能少的足迹。在所有加载程序的MCC检查和有效负载加载之后,核心组件开始工作。它是以工作安排方式设计的,这意味着它会定期从C&C服务器请求新命令。发现时,它会严格顺序执行它们,然后根据给定任务的类型报告结果。下图是命令的示例(截断)。
当Joker收到此类消息时,它将继续打开报价URL,注入JavaScript命令,一一等待授权SMS(如果有)。当SMS消息到达时,恶意软件使用特定于案例的正则表达式提取必要的授权代码。在其他时候,它只是将SMS消息发送到高级编号,并在报价页面上提供特定代码。
小丑知道何时在打开高级优惠页面时发送高级短信,并找到一个具有“价值”的属性。短信:”。
每当恶意软件从SMS消息中提取代码时,它还在作业完成后将其报告给C&C。假设僵尸网络操作员可以制作工作,这将导致所有传入的SMS消息被盗。
上图是与C&C的第二阶段通信的示例,它包含了被盗测试SMS消息的全文。可以将其解密到JSON对象中。也可以使用调试器观察到清晰文本的通信。
关于小丑的最后一件重要的事情是电话簿联系人列表盗窃。核心组件收集联系人列表中的所有数字,并以加密表格将其发送到C&C:
在24个受感染的应用程序中,观察到了第二阶段有效载荷的12个独特构建。版本名称来自示例配置类中的有效负载URL和数据:
-s8释放
-s8–5释放
-S8–5-DSP释放
-s8- all
-s9–6释放
-s9–6–3
-s9–3 sendsms
-s9–6–2释放
-Y12-无gog
-y12-no-log
-y13- all
-y13-all-v2-no-log
概括
所描述的特洛伊木马采用了明显的隐形策略来在Google游戏中进行非常恶意的活动,同时躲藏在广告框架内,并且不会在公开场合公开露出太多的恶意代码。我们可以确定的野外小丑最早发生的事件来自DNS Metadata,这表明Joker恶意软件家族已于2019年6月上旬开始了其最近的广告系列。但是,构建名称中的主要版本数字给人留下了深刻的印象。稍长于生命周期,过去可能会有更多的运动。
尽管有数量(24个应用程序),但Google似乎尽可能地受到这种威胁的贡献。某些应用程序在删除之前确实安装了100,000多个安装,但是,由于常见的Astroturfing实践,安装号始终可以在某种程度上是人造的。在整个调查过程中,Google一直在删除所有这些应用程序,而我们却没有任何注释。
我们建议您密切注意您在Android设备上安装的应用程序中的权限列表。显然,通常没有清楚的描述某个应用程序为什么需要特定的许可,这意味着每当您下载任何应用程序时,您仍在某种程度上依靠自己的直觉感觉。
IOC
第一阶段(有效载荷分配)C&C:http://3.122.143 [。] 26/
主要C&C:
http://joker2.dolphinsclean [。] com/
http:// beatleslover [。] com/
http://47.254.144 [。] 154/第二阶段二进制(核心):
https://s3.amazonaws.com/media.site-group-df [。] com/s8-release
https://tb-eu-jet.oss-eu-central-1.aliyuncs [。] com/s8-5释放
https://tb-eu-jet.oss-eu-central-1.aliyuncs [。] com/s8-5-dsp-rease
https://tb-eu-jet.oss-eu-central-1.aliyuncs [。] com/s8-all
https://tb-eu-jet.oss-eu-central-1.aliyuncs [。] com/s9-3 sendsms
https://tb-eu-jet.oss-eu-central-1.aliyuncs [。] com/s9-6释放
https://tb-eu-jet.oss-eu-central-1.aliyuncs [。] com/s9-6-6-释放
https://tb-eu-jet.oss-eu-central-1.aliyuncs [。] com/s9-6-3
https://tb-eu-jet.oss-eu-central-1.aliyuncs [。] com/y12-all-no-log
https://tb-eu-jet.oss-eu-central-1.aliyuncs [。] com/y12-no-log
https://tb-eu-jet.oss-eu-central-1.aliyuncs [。] com/y13-all
https://tb-eu-jet.oss-eu-central-1.aliyuncs [。] com/y13-all-v2 no-log构建“ Y13-ALL-V2-NO-LOG” SHA256:A7DC4238682147012751BB853001B053527CA8031A624BBBD5DB1A77A3E3E563EADEAD SHA256:装载机Yara规则:
规则android_joker {
字符串:
$ C = {52656D6F746520436C6F616B} //远程斗篷
$ cerr = {6E6574776F726B206973737565653A20747279206C61746572} //网络问题:稍后尝试
$ net = {2f6170692f636b776b736b736c3f6963633d} /// /api /ckwksl?icc =
$ ip = {332e313232e3134332e3236} // 3.122.143.26
健康)状况:
($ c和$ cerr)或$ net或$ ip
}在Google游戏中受感染的应用程序:SHA256:B36FBE6B75F00AE835156185CA5D6955CDFBE410D73C3E5653DABBAFF260F166
软件包名称:com.with.nofear.myheart
安装:100,000+
加载程序路径:com.startapp.android.publish
MCC配置:262_202_460_268_520_50_502_424_510_414_232_204_222_272_272_427_228_214SHA256:718210A0C41160240843711D79F2757548E72934E996B0E16A2B2277369D366B
软件包名称:com.cnern.icdesktop.wallpaper
安装:100,000+
加载程序路径:com.tohsoft.wallpaper.ui.details.basics
MCC配置:UNKNOWN_262_202_460_268_520_50_502_424_510_414_232_232_204_222_272_272_427_228_214SHA256:81D784EE65A8DC113683CD7CC271A36DA275A275A500621CEFA187095951AF3A5114
软件包名称:com.building.castle.bsster
安装:50,000+
加载程序路径:com.startapp.android.publish
MCC配置:620_708_208_427_310_262_202_202_460_268_268_520_50_502_424_510_414_414_232222222222228_28_272_272_240_24_24_24_24_24_24_230_230_2212121212121212121212121212122222222222SHA256:2D9A7D75227C3332591E1AF5A2F22222222222223328C75C95DEA9A333EA3EA269200FAF38
软件包名称:com.futureage.facelook
安装:50,000+
加载程序路径:com.startapp.android.publish
MCC配置:262_202_460_268_520_50_502_424_510_414_232_204_222_272_272_427_228_214SHA256:1E724A5AF76927106EE92421412AF62698707D1D44A9891F91B3C6902F1780CD
软件包名称:com.comeback.myside.sms
安装:50,000+
加载程序路径:com.blur.blurphoto.view
MCC Config: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256:69D94F94233A2E42D49EEAFAEAEAFAEA7BF2AAD86671CDAF3BE45B00FF3DE624D7E883
软件包名称:com.sybo.ggp.cam
安装:10,000+
加载程序路径:com.startapp.android.publish
MCC配置:262_202_460_268_520_50_502_424_510_414_232_204_222_272_272_427_228_214SHA256:E44F514C7729A6C39700DB6AC51C8177777777741E19178F8942C2D26F6B6B62EF9DF5
软件包名称:com.declare.smsarr.message
安装:10,000+
加载程序路径:com.messages.messenger.chat.listSHA256:226E9C5CA45FACB9B9A36529E099958546C4B351F4B7AEAE02101F8E3C1D6E3DE7B
软件包名称:com.change.nicephoto
安装:10,000+
加载程序路径:com.blur.blurphoto.view。
MCC Config: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256:6261BE516A54D8566348B8305E96F34BDBF4F4F11620350C5F36F4BC3CB67FC181
软件包名称:com.rapidface.smart.scanner
安装:10,000+
加载程序路径:com.fungo.constellation.common.ball
MCC配置:UNKNOWN_262_202_460_268_520_50_502_424_510_414_232_232_204_222_272_272_427_228_214SHA256:43B36C438A3531E42623FBD00F5B57066A4DB8048CE8E0AB0B0B0B5ECF9EAC67AABF
软件包名称:com.burning.rockn.scan
安装:10,000+
加载程序路径:com.startapp.android.publish
MCC配置:620_708_208_427_310_262_202_202_460_268_268_520_50_502_424_510_414_414_232222222222228_28_272_272_240_24_24_24_24_24_24_230_230_2212121212121212121212121212122222222222SHA256:DA2171A32F3B95620C35A48A34FB7293A321AB41266D3461F808B2F07694E5A7
软件包名称:com.board.picture.editing
安装:10,000+
装载机路径:com.color.black.filter
MCC配置:unknown_460_262_520_202_222_427_232SHA256:494C8C6155A08AE 195A2F196262636911310C98D36F065E81EDDF4FF4FFCB172913495
软件包名称:com.cute.hd4kcam.camera
安装:10,000+
加载程序路径:com.facebook.appevents.camera.pics
MCC配置:UNKNOWN_262_202_460_268_520_50_502_424_510_414_232_232_204_222_272_272_427_228_214SHA256:A8BF4055A4988EE181BE9915C93C6278503BE562475A55555558AEF3C6DBA54E06B13
软件包名称:com.wallpapers.dazzle.gp
安装:10,000+
加载程序路径:com.startapp.android.publish
MCC配置:262_202_460_268_520_50_502_424_510_414_232_204_222_272_272_427_228_214SHA256:BEFDE4166A9CDF2FF7C81FB5DEC6760D20E0DEBBBC667A8274899A248EF31
软件包名称:com.cantwait.ezlife.wallpaper
安装:10,000+
加载程序路径:com.startapp.android.publish
MCC配置:620_708_208_427_310_262_202_202_460_268_268_520_50_502_424_510_414_414_232222222222228_28_272_272_240_24_24_24_24_24_24_230_230_2212121212121212121212121212122222222222SHA256:B631B2254850E62804FC6689585850DCBF007D670AA.843AF8D2E525C85947DA2D4
软件包名称:com.climate.sms
安装:10,000+
装载机路径:com.color.black.filter
MCC Config: unknown_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256:2E3BFF9DDA4C568A5E12C2F468227EC8DC5BAF9913FE573FE573F02EF2D5432B37BC0
软件包名称:com.xw.supervpnfree
安装:5,000+
装载机路径:org.greenrobot.eventbus.util
MCC Config: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256:9B4A1B7C638BE029F0FFCB92DCFAC74052F41FC36D43A43A45F6AAA80D20D20D1285646
软件包名称:com.vegtable.blif.camera
安装:5,000+
加载程序路径:com.startapp.android.publishSHA256:5405E39DBDE78E3B561A6E6E54F208CE57F04BDBDBDC363EA64442892D26BA91811E
软件包名称:com.print.plant.scan
安装:5,000+
装载机路径:com.plantfinder.Identification.ui.inner
MCC配置:UNKNOWN_262_202_460_268_520_50_502_424_510_414_232_232_204_222_272_272_427_228_214SHA256:65135899349DACA2646CA36C5A4442382BC988F5B3749A2BD5322170D7777777A
软件包名称com.saying.wallpaper.bb
安装:5,000+
加载程序路径:com.startapp.android.publish
MCC配置:262_202_460_268_520_50_502_424_510_414_232_204_222_272_272_427_228_214SHA256:54ABA1530D829C71B2410C06628DE034E38BC52BE3002BE3002F82CC771C219D91958D
软件包名称:com.hampi.sender
安装:1,000+
装载机路径:com.color.black.filter
MCC Config: unknown_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256:27450C3C735DC3DCBA9254A3B08ED2BBCDE8631343CB70107D4E41E41E17FBB548
软件包名称:com.ignite.amino.clean(仍然向上!)
安装:1,000+
装载机路径:com.alc.coolermaster.activity.create
MCC Config: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286_602_255SHA256:162EE177DEA9B9436063DE6DFFD97F97F92F7A50E0E0E429D54FEA73DC3A52F1B3A
软件包名称:com.anti.mysecurity
装载机路径:org.greenrobot.eventbus.util
MCC Config: 242_620_708_208_427_310_262_202_460_268_520_502_424_510_414_232_204_222_228_272_240_724_404_722_505_206_280_214_208_234_419_260_220_525_293_286SHA256:F165E04EE6EC84A2E57108C0F7E157A5DC1158FB38A161E5CFCDE89476838C09
软件包名称:com.hello.sweetangle.Horoscope
加载程序路径:com.mopub.common.boostSHA256:0EBA66CDA54C732645CA699949882097C2F2E6DFF917E88834B66636EF00848772
软件包名称:com.tr.rushphoto
加载程序路径:com.mopub.common.boost