点击蓝字
关注我们
1. 概述
● 结合窃取的手势和密码,配合金融凭证的方式,实施金融窃取;
● 绕过金融app不能截屏和录屏的限制,采用直接每秒递归获取界面所有子节点;
● 保活手段采用1像素窗口保活;
● 采用rtmp-rtsp-stream-client-java框架配合1像素activity实现录屏;
● 采用木马中少见的Netty通信框架和Protobuf格式,完成数据通信;
2. 保活技术及恶意性技术分析
图2-1 样本基本信息
■ 金融窃取行为
图2-2 无障碍权限记录用户手势、输入文本
图2-3 远程操作解锁手机
FLAG_SECURE
参数表示保护屏幕内容不被截屏或录屏,尤其是在一些金融应用、密码管理器或者其他敏感应用中大多会设置相关数据保护。图2-4 Accessibility服务
FLAG_SECURE
限制,详细包括数据如下:-
文本信息: nodeInfo.getText()
方法来获取界面元素上显示的文本信息。 -
控件类型: nodeInfo.getClassName()
方法可以告诉你界面元素所属的控件类型,例如按钮、文本框、列表项等。 -
控件状态: nodeInfo.isEnabled()
方法可以告诉你界面元素是否可用,nodeInfo.isClickable()
可以告诉你是否可点击,nodeInfo.isChecked()
可以告诉你复选框或单选按钮是否被选中等。 -
界面层级: nodeInfo.getChildCount()
方法可以告诉你一个视图中有多少子视图,nodeInfo.getChild(int index)
可以获取特定索引的子视图。 -
界面坐标和大小: nodeInfo.getBoundsInScreen(Rect outBounds)
方法来获取界面元素在屏幕上的位置和大小。 -
内容描述: nodeInfo.getContentDescription()
方法可以提供关于视图元素的内容描述。 -
ID 和标签: nodeInfo.getViewIdResourceName()
方法可以获取视图的资源ID名称,nodeInfo.getLabelFor()
可以获取与视图相关联的标签。 -
其他辅助功能属性: nodeInfo.getPackageName()
可以获取应用的包名,nodeInfo.getWindowId()
可以获取窗口的ID等。
FLAG_SECURE
保护。防护措施:
绕过屏幕保护行为多会向设备申请无障碍权限,用户需格外警惕授予该权限。金融、密码管理器以及其他敏感应用需要frida、xposed等hook框架的检测。
<activity android:theme="@style/OnePixelActivity"
android:name="com.mm.user.ui.activity.DisplayActivity" android:exported="true"
android:finishOnTaskLaunch="false" android:excludeFromRecents="true"
android:launchMode="singleTask"/>
<activity android:theme="@style/OnePixelActivity"
android:name="com.mm.user.ui.activity.RequestPermissionActivity" android:exported="true"
android:finishOnTaskLaunch="false" android:launchMode="standard"
android:configChanges="screenSize|orientation|navigation|keyboardHidden|keyboard"/>
图2-5 注册广播监听屏幕亮屏
图2-6 使用AutoStarter开源项目对xiaomi、vivo手机品牌做保活
双进程保活:
图2-7 双进程保活
静默播放音乐保活:
图2-8 静默播放音乐保活
图2-9 开启1像素窗口
图2-10 请求录屏
图2-11 采用rtmp-rtsp-stream-client-java框架收集实时视频数据
图2-12 常规请求录屏
应谨慎授予设备的录屏权限,同时在敏感界面操作禁止录屏和截屏。
图2-13 使用Netty网络通信框架和Protobuf的自定义格式进行通讯
图2-14 远控指令数据格式
图2-15 监听fcm中DataSnapshot
图2-16 解析远控指令
图2-17 上传数据至firebasestorage
远控及上传数据行为会产生大量流量数据,因此警惕设备的异常大型流量请求。
3. 总结
建 议
从官方应用商店下载应用程序,避免使用第三方应用市场;
不要点击来源不明的短信或电子邮件中的链接;
定期更新设备操作系统和应用程序;
不要在公共wifi网络上访问敏感金融账户,并定期检查银行和金融账户的交易;
END
关于安天移动安全
武汉安天信息技术有限责任公司(简称安天移动安全)成立于 2010 年,是安天科技集团旗下专注于移动智能用户生态安全防护的科技公司。自主创新的移动反病毒引擎,在 2013 年以全年最高平均检出率荣获 AV-TEST“移动设备最佳防护”奖,实现了亚洲安全厂商在全球顶级安全测评领域重量级奖项零的突破。经过十余年的发展与积累,公司的反病毒引擎产品已与移动终端设备厂商、移动应用开发者、运营商、监管部门等移动设备产业链上下游企业机构伙伴成功合作,为全球超 30 亿移动智能终端设备提供全维度、全生命周期安全护航,已发展成为全球领先的移动互联网安全防护厂商。安天移动安全始终秉承安全普惠使命,通过自主创新国际领先的安全核心技术,与产业链各方共同打造操作系统内生安全的绿色生态链,为新时代用户打造国民级安全产品,在万物互联时代营造更安全和可持续的全场景健康数字体验。
关于安天移动威胁情报团队
安天移动威胁情报团队致力于移动APT活动研究及移动安全攻防对抗技术研究,由一支拥有前沿移动端安全对抗技术、多年境外APT组织实战对抗经验、漏洞分析与挖掘能力的一流安全工程师团队组成。在近些年,成功通过基于安天移动样本大数据的APT特马风控预警运营体系,持续发现包含肚脑虫、利刃鹰、APT37等多个APT组织的移动端攻击活动,并依托该体系建立了一线移动端攻击活动的捕获能力、拓线溯源分析能力。安天移动威胁情报团队未来将仍持续专注于移动安全领域研究,以安全普惠为核心价值观,建设一支召之即来,来之能战,战之必胜的顶尖网络安全团队,并将长久且坚定地维护移动网络世界安全。
原文始发于微信公众号(安天AVL威胁情报中心):基于新型MMRat木马窥伺近来木马技术与防范