迈克菲在Google play商店发现被下载70多万次的恶意应用程序

迈克菲在Google play商店发现被下载70多万次的恶意应用程序

Google Play上的聪明的计费欺诈应用程序:Etinu

新一波的欺诈性应用程序已进入Google Play商店,以西南亚和阿拉伯半岛的Android用户为目标-多达700,000次下载,然后被McAfee Mobile Research检测并与Google合作删除应用程序。

Google Play上受感染的应用程序

伪装成照片编辑器,墙纸,拼图,键盘皮肤和其他与相机相关的应用程序时,这些欺诈性应用程序中嵌入的恶意软件会劫持SMS消息通知,然后进行未经授权的购买。当应用程序经过审查过程以确保它们合法时,这些欺诈性应用程序通过提交应用程序的干净版本进行审查,然后通过稍后对应用程序的更新引入恶意代码,将它们带入商店。

Google Play上的负面评论

McAfee Mobile Security将这种威胁检测为Android/Etinu,并警告移动用户(如果存在)。迈克菲移动研究团队将继续监视这一威胁,并继续与Google合作,以删除Google Play上的这些和其他恶意应用程序。

技术分析

在细节方面,这些应用程序中嵌入的恶意软件利用了动态代码加载的优势。加密的恶意软件有效负载会使用与该应用程序相关联的资产文件夹中显示的名称,例如“ cache.bin”,“ settings.bin”,“ data.droid”或看似无害的“ .png”文件,如下所示。

密的恶意资源潜入资产文件夹
解密流程

上图显示了解密流程。首先,主.apk中隐藏的恶意代码会打开资产文件夹中的“ 1.png”文件,将其解密为“ loader.dex”,然后加载删除的.dex。“ 1.png”是使用RC4加密的,包名称为密钥。第一个有效负载创建到C2服务器的HTTP POST请求。

有趣的是,该恶意软件使用密钥管理服务器。它从服务器请求用于AES加密的第二有效载荷“ 2.png”的密钥。服务器将密钥作为JSON的“ s”值返回。此外,该恶意软件还具有自我更新功能。当服务器响应“ URL”值时,将使用URL中的内容而不是“ 2.png”。但是,服务器并不总是响应请求或返回密钥。

更新的有效负载响应

与往常一样,最恶意的功能会在最后阶段展现自己。该恶意软件劫持了通知侦听器,以在未经SMS读取许可的情况下窃取传入的SMS消息,就像Android Joker恶意软件一样。就像链式系统一样,恶意软件然后将通知对象传递到最后阶段。从默认的SMS程序包发出通知后,最终将使用WebView JavaScript Interface发送该消息。

通知传递流程

作为我们对C2服务器的进一步调查的结果,发现了以下信息,包括运营商,电话号码,SMS消息,IP地址,国家/地区,网络状态等,以及自动续订:

泄漏的数据

诸如此类的进一步威胁会来临吗?

我们期望利用通知侦听器的威胁将继续蓬勃发展。McAfee Mobile Research团队将继续分析这些威胁,并通过分析潜在的恶意软件并与应用程序商店合作将其删除以保护客户。此外,使用McAfee Mobile Security可以检测到此类威胁,并通过定期更新来保护您免受威胁的侵害。但是,请务必注意请求与SMS相关的权限和Notification Listener权限的应用程序。简而言之,合法的照片和墙纸应用程序根本不会要求这些应用程序,因为它们对于运行此类应用程序不是必需的。如果请求看起来可疑,则不要允许它。

技术数据和IOC

MITRE ATT&CK矩阵

IoCs

08C4F705D5A7C9DC7C05EDEE3FCAD12F345A6EE6832D54B758E57394292BA651com.studio.keypaper2021
CC2DEFEF5A14F9B4B9F27CC9F5BBB0D2FC8A729A2F4EBA20010E81A362D5560Ccom.pip.editor.camera
007587C4A84D18592BF4EF7AD828D5AAA7D50CADBBF8B0892590DB48CCA7487Eorg.my.favorites.up.keypaper
08FA33BC138FE4835C15E45D1C1D5A81094E156EEF28D02EA8910D5F8E44D4B8com.super.color.hairdryer
9E688A36F02DD1B1A9AE4A5C94C1335B14D1B0B1C8901EC8C986B4390E95E760com.ce1ab3.app.photo.editor
018B705E8577F065AC6F0EDE5A8A1622820B6AEAC77D0284852CEAECF8D8460Ccom.hit.camera.pip
0E2ACCFA47B782B062CC324704C1F999796F5045D9753423CF7238FE4CABBFA8com.daynight.keyboard.wallpaper
50D498755486D3739BE5D2292A51C7C3D0ADA6D1A37C89B669A601A324794B06com.super.star.ringtones

恶意网址URLs

d37i64jgpubcy4.cloudfront.net
d1ag96m0hzoks5.cloudfront.net
dospxvsfnk8s8.cloudfront.net
d45wejayb5ly8.cloudfront.net
d3u41fvcv6mjph.cloudfront.net
d3puvb2n8wcn2r.cloudfront.net
d8fkjd2z9mouq.cloudfront.net
d22g8hm4svq46j.cloudfront.net
d3i3wvt6f8lwyr.cloudfront.net
d1w5drh895wnkz.cloudfront.net

from