McAfee 的安全研究人员发现了针对日本 NTT DOCOMO 用户的新型恶意软件。该恶意软件伪装成合法的移动安全应用程序,在 Google Play 商店中进行分发。应用程序名为 スマホ安心セキュリティ或 Smartphone Anshin Security实际上该恶意软件是针对 NTT DOCOMO 移动支付用户进密码盗窃与支付欺诈的。应用程序程序包名为 com.z.cloud.px.app与 com.z.px.appx,MaAfee 已经告知 Google 下架处理。
诱导安装
【来自法国的短信】
【Google Play 上的恶意软件】
攻击者还使用 Google Drive 来分发恶意软件,这一方式安装 APK 文件不会留下任何痕迹,而且安装过程更为简单。如果用户此前允许通过 Google Drive 来安装未知应用程序,只需要点击三次即可完成安装。
【跳转安装页面】
恶意软件本身
【询问网络密码】
网络密码可以用于 NTT DOCOMO 的在线支付,只需要输入四位密码即可将费用计入手机账单。
【界面对比】
获取密码后,恶意软件会显示虚假的移动安全状态。界面显示与旧版 McAfee Mobile Security 十分类似,但是所有的按钮其实都是假的,并不具备相关功能。
技术分析
该恶意软件使用 Golang 编写,在执行期间加载了一个名为 libmyapp.so的库,该库在加载时会尝试使用 Web Socket 连接到 C&C 服务器。建立连接后,恶意软件会回传网络信息以及电话号码并接受如下控制:
|
RPC 函数名 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
【数据包中包含个人信息】通过命令 toggle_wifi将受害者从 Wi-Fi 切换到移动网络,再利用窃取的密码进行欺诈性购买。
【整体流程】
结论
恶意软件使用反向代理来窃取用户的密码,实现欺诈性购买从而获利。用户在使用移动设备安装应用程序时,一定要更加小心谨慎。
IOC
193[.]239[.]154[.]23
91[.]204[.]227[.]132
ruboq[.]com
5d29dd12faaafd40300752c584ee3c072d6fc9a7a98a357a145701aaa85950dd
e133be729128ed6764471ee7d7c36f2ccb70edf789286cc3a834e689432fc9b0
e7948392903e4c8762771f12e2d6693bf3e2e091a0fc88e91b177a58614fef02
3971309ce4a3cfb3cdbf8abde19d46586f6e4d5fc9f54c562428b0e0428325ad
2ec2fb9e20b99f60a30aaa630b393d8277949c34043ebe994dd0ffc7176904a4
af0d2e5e2994a3edd87f6d0b9b9a85fb1c41d33edfd552fcc64b43c713cdd956
参考来源
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fake-security-app-found-abusing-japanese-payment-system/
精彩推荐
原文始发于微信公众号(FreeBuf):虚假安全应用针对日本用户进行窃密
