手機鈴聲變成靜音?Android 間諜程式作怪! XLoader 偷打電話 、看簡訊 、暗中錄音,還會竊取銀行帳密

新 Android 間諜程式兼銀行木馬程式「ANDROIDOS_XLOADER.HRX」,正瞄準台灣在內的亞洲國家,此惡意程式會假冒成 Facebook 或 Chrome 之類的正常應用程式,竊取裝置上的個人身分識別資訊與金融相關資訊,並且會安裝更多應用程式。此外,XLoader 還會挾持已感染的裝置 (如發送簡訊) 並藉由裝置管理員權限來隱藏行蹤。每當受害裝置安裝新的程式套件或者螢幕裝置亮起來時,就會顯示一個網路釣魚網頁來試圖竊取受害者的個人資料 (如銀行帳號密碼)。此外,XLoader 會竊取簡訊內容,甚至暗中錄下語音通話。除了金融帳號,還會竊取感染裝置上的遊戲帳號資訊。為使受害者不易察覺,這些網路釣魚網頁甚至能根據裝置的設定來提供相對應的多國語言,包含中文、日文、韓文、英文等。

不僅如此,XLoader有可能將原本正常的應用程式換成重新包裝過的惡意版本,比如圖示假冒成 Facebook 和 Chrome 它的惡意行徑包含: 發送簡訊、 啟用或停用 Wi-Fi 連線、蒐集裝置上的所有聯絡人、將裝置鈴聲模式設成靜音、取得詳細的手機連線狀態,包括使用中的網路和 Wi-Fi (不論是否有密碼) 、強迫裝置回到主畫面、連上指定的網路、模擬某個撥號音、撥打指定電話號碼、取得裝置上所有應用程式的清單….等等。

 

 

Android 間諜程式與銀行木馬程式 XLoader 經由竄改 DNS 的手法散布

趨勢科技從三月初開始便偵測到一波新的網路攻擊,現在,這波攻擊正瞄準台灣、香港、中國大陸、日本和韓國。這些攻擊先利用網域名稱系統 (DNS) 快取汙染/竄改 DNS 的技巧 (有可能是利用暴力破解或字典攻擊來入侵路由器),進而散布及安裝惡意的 Android 應用程式,趨勢科技將此惡意程式命名為「ANDROIDOS_XLOADER.HRX」。

此惡意程式會假冒成 Facebook 或 Chrome 之類的正常應用程式。經由被汙染的 DNS 網域發送通知到不知情的受害者裝置。這些惡意的應用程式會竊取裝置上的個人身分識別資訊與金融相關資訊,並且會安裝更多應用程式。此外,XLoader 還會挾持已感染的裝置 (如發送簡訊) 並藉由裝置管理員權限來保護自己,讓自己一直躲藏在裝置內。

假冒成 Facebook 和 Chrome 應用程式 (框起來部分)。

圖 1:假冒成 Facebook 和 Chrome 應用程式 (框起來部分)。

XLoader 的感染過程

圖 2:XLoader 的感染過程。

入侵路由器竄改 DNS 設定,假冒緊急更新通知,引誘受害者至惡意網域下載 XLoader

正如趨勢科技稍早在三月份所做的報告指出,此攻擊會先入侵路由器然後竄改 DNS 設定,進而將受害者導向駭客指定的網域。接著受害者會收到緊急通知,引誘受害者去惡意網域下載 XLoader。


假冒的緊急更新通知,引誘使用者前往假冒的網域
圖 3:假冒的緊急更新通知,引誘使用者前往假冒的網域。

技術分析

XLoader 成功進入裝置之後,會先從加密過的資源檔案 (test.dex) 當中解開一些必要的模組,然後向使用者要求提供系統管理權限。一旦獲得權限,就會將自己在裝置主畫面 (Launcher) 上的應用程式圖示隱藏,接著在系統上建立一個服務來讓自己持續在背後執行。這個背後的服務採用一種稱為 Reflection 的程式技巧 (一種可讓 Java 應用程式檢視和修改內部屬性資料的 功能) 來呼叫惡意檔案中的 com.Loader.start 函式。

經由 Reflection 技巧呼叫的主惡意模組

圖 4:經由 Reflection 技巧呼叫的主惡意模組。

監聽廣播事件

XLoader 會幫惡意模組動態註冊多個廣播事件接收器 (用來監視系統與應用程式之間傳送的廣播事件)。這些廣播接受器會在適當時機觸發 XLoader 的惡意行為。以下是這些廣播事件對應的動作:

  • android.provider.Telephony.SMS_RECEIVED
  • android.net.conn.CONNECTIVITY_CHANGE
  • android.intent.action.BATTERY_CHANGED
  • android.intent.action.USER_PRESENT
  • android.intent.action.PHONE_STATE
  • android.net.wifi.SCAN_RESULTS
  • android.intent.action.PACKAGE_ADDED
  • android.intent.action.PACKAGE_REMOVED
  • android.intent.action.SCREEN_OFF
  • android.intent.action.SCREEN_ON
  • android.media.RINGER_MODE_CHANGED
  • android.sms.msg.action.SMS_SEND
  • android.sms.msg.action.SMS_DELIVERED

建立一個網站伺服器進行網路釣魚

XLoader 會建立一個臨時的網站伺服器來接收廣播事件。此外,也會在感染裝置上建立一個簡單的 HTTP 伺服器來欺騙受害者。每當受害裝置收到一個廣播事件時 (例如新的程式套件安裝時,或者螢幕裝置亮起來時),就會顯示一個網路釣魚網頁來試圖竊取受害者的個人資料 (如銀行帳號密碼)。這些網路釣魚網頁還提供了中文、日文、韓文及英文等多國語言。文字內容都已包含在程式當中,並根據裝置所設定的語言而選擇適當文字。

網路釣魚網頁 (日文)

圖 5:日文版網路釣魚網頁 。

XLoader 既是間諜程式,也是銀行木馬程式

XLoader 會蒐集裝置上已安裝的應用程式相關資訊,包括在收到簡訊相關廣播事件時竊取簡訊內容,甚至暗中錄下語音通話。此外,XLoader 也會竊取感染裝置上的金融帳號或遊戲帳號資訊。

XLoader 負責錄下語音通話的程式碼

圖 6:XLoader 負責錄下語音通話的程式碼。

不僅如此,XLoader 還可啟動駭客指定的其他程式套件。因此有可能將原本正常的應用程式換成重新包裝過的惡意版本。XLoader 會監視程式套件安裝廣播事件,然後在適當時機啟動自己的套件。如此一來,就能偷偷啟動自己的惡意程式而不被使用者察覺,而且不需取得使用者同意。

趨勢科技經由逆向工程分析發現 Xloader 主要是針對南韓的銀行與遊戲開發廠商。XLoader 還會讓使用者無法進入裝置設定,也無法使用南韓當地的某個防毒軟體。

同時,XLoader 還會載入多個惡意模組來從其幕後操縱 (C&C) 伺服器接收指令並執行,如下所示:

XLoader 的多個惡意模組
圖 7:XLoader 的多個惡意模組。

以下是這些模組的清單及對應功能:

  • sendSms — 發送簡訊/多媒體簡訊至指定號碼。
  • setWifi — 啟用或停用 Wi-Fi 連線。
  • gcont — 蒐集裝置上的所有聯絡人。
  • lock — 目前程式設定檔 (pref) 當中只有一個輸入鎖定設定,或許是要用來鎖定螢幕進行勒索。
  • bc — 蒐集 Android 裝置和 SIM 卡上的所有聯絡人。
  • setForward — 目前還未實作,可能用來挾持裝置做某種用途。
  • getForward — 目前還未實作,可能用來挾持裝置做某種用途。
  • hasPkg — 檢查裝置上是否安裝了某個應用程式。
  • setRingerMode — 設定裝置的鈴聲模式。
  • setRecEnable — 將裝置鈴聲模式設成靜音。
  • reqState — 取得詳細的手機連線狀態,包括使用中的網路和 Wi-Fi (不論是否有密碼)。
  • showHome — 強迫裝置回到主畫面。
  • getnpki— 從一個名為「NPKI」的資料夾 (內含金融交易相關憑證) 讀取檔案或內容。
  • http — 利用 HttpURLConnection 連上指定的網路。
  • onRecordAction — 模擬某個撥號音。
  • call — 撥打指定電話號碼。
  • get_apps — 取得裝置上所有應用程式的清單。
  • show_fs_float_window — 顯示一個全螢幕視窗來從事網路釣魚。

值得注意的是,XLoader 會利用 WebSocket 通訊協定 (許多瀏覽器和網站應用程式都支援),經由 ws(WebSockets)wss(WebSockets over SSL/TLS) 來與其 C&C 伺服器通訊。其 URL  隱藏在三個網頁內,且 XLoader 連上的 C&C 伺服器分散不同區域。

由於使用 WebSocket 通訊協定,因此 XLoader 可讓用戶端和伺服器隨時保持連線,任何時候都能傳送資料。XLoader 會先用 MessagePack (一種資料交換格式) 來打包竊取到的資料再經由 WebSocket 通訊協定外傳以提升傳輸速度和效率。

用來暗藏 C&C 相關網址的其中一個網頁
圖 8:用來暗藏 C&C 相關網址的其中一個網頁。

XLoader 解讀 C&C 網址的程式碼
圖 9:XLoader 解讀 C&C 網址的程式碼。

防範之道

當 XLoader 發現 Android 是使用行動通訊連線時,就不會下載惡意應用程式。使用者應養成正確的資安習慣來防範可能利用家用或企業路由器漏洞的威脅。例如,設定高強度的密碼,就能讓裝置不易遭到入侵。此外也應定期更新及修補路由器的韌體來防範漏洞,並且啟用路由器內建的防火牆。

系統管理員和資安人員應妥善設定路由器組態來防範 DNS 快取汙染之類的攻擊及類似威脅。一般使用者也應檢查一下自己的路由器 DNS 設定是否遭到篡改。此外,就連 DNS 快取汙染也會用到社交工程技巧,因此使用者應謹慎提防可疑或不明的郵件,仔細看看是否有任何惡意程式的蛛絲馬跡。

針對這項威脅,趨勢科技已經和 Google 取得聯繫,該公司確認 Google Play 安全防護已經能夠主動偵測這方面的應用程式。目前 Google Play 商店上並無任何前述應用程式。

趨勢科技解決方案

趨勢科技行動安全防護可攔截上述相關惡意應用程式。除此之外,其多層式的防護也能守護裝置的資料與隱私,並且防範勒索病毒、詐騙網站以及身分盜用,有助於保障一般使用者和企業的安全。

 

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!

 

針對企業機構,趨勢科技企業版行動安全防護可提供裝置、法規遵循與應用程式的管理,以及資料防護和組態配置,並可防止裝置遭到漏洞攻擊,避免存取未經授權的應用程式,同時還可偵測並攔截惡意程式和詐騙網站。

趨勢科技的行動應用程式信譽評等服務 (MARS) 已經可以利用先進的沙盒模擬分析與機器學習技術來防範 Android 的威脅,防止使用者遭到惡意程式、零時差漏洞、已知漏洞、隱私外洩、應用程式漏洞等危害。

入侵指標:

 ANDROIDOS_XLOADER.HRX 各樣本的雜湊碼 (SHA-256):

雜湊碼應用程式套件名稱
0F49416B6BCB6E755D
999255FABB4C77C5EA
7DEDEB7E6CDB0925C
4F23C1FB00E
fddf.tre.hjgdsgkhChrome
958135E163E0518F24F
BD1AF6EF18C30E30C1
A4DFB383FF47D111930
55D4CDCE
fghdf.rtghj.hjkhChrome
C65318AA58C9091B938
948B62C4B5D6E472376
97D8D2F96863F99EF17
7B6818D
ghd.et.hdsChrome
62312475CF0EC1ED66F
A29938C30D029BA2F02
BCD6B6ED5AC6C0E5DB
E3626BF6
gfhd.rewq.cvxbdfChrome
17D1415176121AFF8C0020
C3A094B3D72F9802F5145
C80EBCA47DCFE10CC21F6
gfdg.qwe.gsdgFacebook
1849E8DFD9D1C03DBE6C
1464F9B05492012A6C14A0
A5B63FEB938F1C8B70309B
jfgh.rtw.ghmFacebook
AC0C7F59859B5DC3ACBC3
BACA6A6B0FD6ECD05375
D06995D7E28D3F6CB36322A
gwer.dfdf.cxvFacebook
B623DA28673A1934BD61DE
A94A88C37E5FBE9999ED3
D6BA311176D65F64C4A4D
ertt.fgh.nfgFacebook
4232B36C2B306A47B6C67D
5D949349024F57CDBC4516
3A2CA7B7DEE304229C2B
gfdg.qwe.gsdgFacebook
B8FB1857881F20E8E3223E
390E13E6DD97D47CABB81
870D51421C04631D63FC1
ertt.fgh.nfgFacebook
AA183FDA57FDE0137AB931
F3729215956E6F9EE158D90
ED82151948F70DB841B
dfg67.as44f.cvx87dfFacebook
B125EA78FB390950893D14
6A51F513440314BE7648207
B59E5D0A1752740F273
jfgh.rtw.ghmFacebook
6690FBA689E5AE957E0D01
565BA8F849E0F6AA214F2F
93535D1A7C9C75030BD3
ertt.fgh.nfgFacebook
E690C05F2AB668A661CD21
9E324291819D5F5646775C2
A17F3B3A03E79332A04
tryrt.sdf.bfdFacebook
4E32493E6C87B0E2EF3E6A
E32F5C32D75AE36C92524A
185EABC88FEA3C7938C8
fddf.tre.hjgdsgkhFacebook
82D7A496091BD8B0435359
BAFC9E7C923CF09BE58D3
ECC9C477E29E541811582
trghj.asdf.cvxebdfFacebook
E1FB10B714420F23F1BB09B
6C4C55B674B6EFD93685EE
7D1D4574C7FA8B39A94
trghj.asdf.cvxebdfFacebook
CC2617D7D904986B83BAF7
843DB6969151363000678E8
DA599EDBF6CF23CB827
jfgh.rtw.ghmFacebook
3698DF22E8A4656FC53BD2
BDE2DA74DD9DA90083481
29347D5D3E6F976FABA6C
trghj.asdf.cvxebdfFacebook
065E266016A15BB639C31D
49511DBCD0ADC83261D03
C6652DFBFCAB611B9DB53
trghj.asdf.cvxebdfFacebook
6F20F227F79DEBFDAE322
33B59F4DC15C7FAF05036B
21E8CD46B24EBC52F0BF8
gfdg.qwe.gsdgFacebook
A4031768A9F1AEB227389E
DD99140303420F3A45F0C1
36D3863C703C685CDEF1
tryrt.sdf.bfdFacebook
7E49B7C6ED359B4E910E8D
4D2C9436D99CDDEB7F9AF
2E2F1082D0CA45D469566
jfgh.rtw.ghmFacebook