邁克菲詳解Android.FakeInstaller惡意偽裝程序
Android.FakeInstaller 是一個廣泛傳播的移動惡意軟件系列。它曾假冒奧運會賽事成績應用程序、Skype、Flash Player、Opera 和許多其他流行應用程序。事實上,在移動惡意軟件界,FakeInstaller 系列是我們所分析過的最猖獗的惡意軟件之一。邁克菲所處理過的針對 Android 系統的惡意軟件樣本中,超過 60%是來自 FakeInstaller系列。隨著其增加了服務器端多態、混淆、反逆向以及頻繁重編譯等伎倆用來逃避檢測,這一威脅已逐漸加大。
Android.FakeInstaller 會向收費服務的電話號碼發送消息,無需用戶同意,便可將自身偽裝成合法的安裝程序。這一惡意軟件有大量變體,通過數以百計的網站和假冒市場進行傳播,且覆蓋面逐日擴大。
Android.FakeInstaller 圖標
在用戶搜索流行應用程序時,如果通過搜索引擎或社交網絡不慎訪問了一個假冒的官方站點或假冒市場,就會遇到貌似合法的應用程序,包含截屏、用戶評價、說明、視頻等,以引誘受害者下載惡意軟件。當用戶在執行 Android.FakeInstaller 時,首先會顯示一個服務協議,告訴用戶將會發送一條或多條短信,這一界面足以迷惑很多人,當用戶開始點擊"同意"或"下一步"按鈕,系統便開始強制性的給用戶發送收費短信。我們還發現一些版本在受害者點擊按鈕之前,便已經發送了短信。
Android.FakeInstaller 有不同的版本,它會模擬合法應用程序的安裝或下載界面
在用戶點擊按鈕后,FakeInstaller 有時會顯示一個虛假的下載進度條。最后,對話框關閉,受害者被重定向到另一個假冒市場。用戶也不可能得到想要的應用程序。#p#
多態服務器
與此同時,我們還發現了FakeInstaller 的若干變體,它們的相同點都集中在有效載荷方面,主要區別在于代碼實現。其中一些還帶有額外有效荷載。一般情況下,每個系列都與一組服務器、域名和假冒應用程序市場相關聯。
而由于多數FakeInstallers 是服務器端多態的,因此這種關系非常強大,這意味著服務器(根據其配置)可能會針對同一 URL 請求提供不同的 APK 文件。
如果受害者要從假冒市場下載應用程序,服務器會將瀏覽器(browser)重定向到另一個處理該請求的服務器,并發送定制好的 APK,該 APK 包含一個在生成的 URL 中關聯的 ID。APK 文件與受害者的 IP 地址相關聯。
例如:假冒的"Opera Mini 6.5" APK 文件會從一個 URL (http://[censored]loads.ru/tds?r=3967) 下載,而從兩個 IP 地址(A 和 B)訪問。因此,受害者被重定向到不同的 URL 并下載非常相似的 APK 文件,這些文件會在 file res/raw/config.txt 中包含一些差別之處,它們與重定向的 URL 相關。
下圖顯示了 file res/raw/config.txt 內部的差別,它們存在于下載自 IP地址 A 和 B 的.樣本中。
因此,這一改動會導致數字簽名(MANIFEST、MYKEY2.SF 和 MYKEY2.RSA)的變化。這一惡意軟件的其他變體包含一個圖片(或一個俄文笑話)以增加或改變 APK 文件的大小。
向收費號碼發送消息
以前的 FakeInstaller版本都是針對西歐用戶創建,如今,惡意軟件開發者已經將其欺詐的觸角延伸到了其他國家與地區--通過添加指令來獲得設備的移動國家碼和移動網絡碼。根據這類信息, Android/FakeInstaller 會選擇收費號碼并向其發生短信。最初版本的短信都包含在 DEX 文件中,而最新版本的短信則包含在 APK 中的加密 XML 文件里。迄今為止,我們已經發現最多發送達7條收費短信的 FakeInstaller 樣本。#p#
逃避分析:Java 混淆和重編譯
通常,在一個假冒市場,所有應用程序都包含相同的 DEX 文件。經過一段時間,會為所有應用程序變更 DEX 文件。惡意軟件編寫者會使用同一代碼新的重編譯版本來更改其 DEX 文件,或者實施新的功能并包含一些外觀變化,假冒安裝進度條動畫、圖標和文本等。
最新版本的 FakeInstaller 包含同一代碼的不同重編譯混淆版本,更改源文件名、行號、字段名、方法名、參數名和變量名等。
在下圖中,我們可以看到同一變體的兩個混淆版本,它們在兩天時間里出現在同一假冒市場:
諸如 ProGuard 或 DexGuard 之類的混淆會刪除調試信息并將所有名稱替換為無意義的字符序列,這樣就更難以對代碼進行逆向工程。有些版本(如 Android.FakeInstaller.S)還包含反逆向伎倆,能夠有效規避動態分析,防止惡意軟件在模擬器中運行。#p#
僵尸網絡伎倆
有一些版本的 Android.FakeInstaller 不僅僅向收費號碼發送短信,還包含后門程序以便從遠程服務器接收命令。FakeInstaller.S 使用"Android Cloud to Device Messaging" 來將受感染的設備注冊到一個數據庫,并從惡意軟件編寫者的Google 帳戶向它們發送消息 (URL)。
傳播伎倆
由于服務器端的多態性,我們還不得不考慮的一個問題是新的假冒網站和假冒市場每天都會涌現。這些站點將受害者的下載重定向到一組 IP 地址和域,如下圖所示:
一些此類站點看上去相當具有迷惑性,并且能輕易地讓受害者中招,原因在于它們被索引在諸如 Yandex 之類的搜索引擎中,在搜索結果排名中有著不錯的位置。為了逃避檢測,一些假冒站點會將來自惡意來源的應用程序下載鏈接重定向到無害的 APK 文件,然后再恢復鏈接。
我們還曾發現有的站點將 URL 通過 Twitter 由僵尸帳戶和假冒 Facebook 配置文件進行共享。
結論
惡意軟件編寫者通過這類欺詐攫取了大量不義之財,因此,他們一定還會不斷完善基礎設施、代碼和伎倆來試圖規避防病毒軟件。在邁克菲看來,這將是一場無休止的對抗,而我們能做的就是完善自身,不斷提高本身的安全系數,來規避這些惡意軟件。
