XLoader變種會偽裝成Android上的安全防護軟體,同時還會利用惡意iOS描述檔(Configuration Profile)來攻擊iPhone和iPad裝置。
新變種還會山寨日本行動電話電信商的網站), 透過簡訊釣魚(smishing),誘騙使用者下載假的手機安全防護應用程式APK檔。
惡名昭彰的XLoader 之前曾偽裝成Facebook、Chrome及其他合法應用程式來誘騙使用者下載它的惡意應用程式。趨勢科技研究人員發現了一款使用不同方式來誘騙使用者的新變種。這款新XLoader變種除了會偽裝成Android上的安全防護軟體,同時還會利用惡意iOS描述檔(Configuration Profile)來攻擊iPhone和iPad裝置。除了散播技術的改變,其程式碼的一些變化也讓它跟之前的版本有所區別。這最新的變種被標記為XLoader 6.0 (偵測為AndroidOS_XLoader.HRXD),是之前對此惡意軟體家族進行研究後的最新版本。
- [延伸閱讀]
- 手機鈴聲變成靜音?Android 間諜程式作怪! XLoader 偷打電話 、看簡訊 、暗中錄音,還會竊取銀行帳密
- Android簡訊釣魚病毒: FakeSpy竊取簡訊、帳號資料、聯絡人和通話記錄,還會散播銀行木馬
- 偏愛假冒宅配公司,超過 30 萬用戶受害的 Android 惡意程式家族:XLoader 和 FakeSpy
感染鏈
此版本的背後黑手利用了數個假網站作為託管主機(特別是會山寨日本行動電話電信商的網站)來誘騙使用者下載假的安全防護應用程式APK檔。監控此波新變種後顯示惡意網站是透過簡訊釣魚(smishing)散播。在本文撰寫時感染尚未廣泛地散播,但我們已經看到許多使用者收到了簡訊。
圖1. 託管XLoader的假網站截圖
在之前,XLoader能夠在電腦上挖掘虛擬貨幣,並在iOS裝置上進行帳號釣魚。而此波新攻擊還能根據裝置類型來提供不同的攻擊載體。
對於Android裝置,訪問惡意網站或點擊任何按鈕將會提示下載APK檔。但要成功安裝此惡意APK檔案需要使用者設定允許安裝未知來源的應用程式。如果使用者允許安裝此類應用程式,就能夠主動安裝在受害者的裝置上。
而Apple裝置所面臨的感染鏈則稍微迂迴。連到同一個惡意網站會將使用者導向另一個惡意網站(hxxp://apple-icloud[.]qwq-japan[.]com或hxxp://apple-icloud[.]zqo-japan[.]com)來提示使用者安裝惡意iOS描述檔以解決網站無法被載入的網路問題。如果使用者安裝了描述檔,就會開啟如圖2所示的Apple釣魚網站。
圖2. iOS裝置使用者會看到的惡意網站截圖
技術分析
新一波攻擊的大多數行為跟之前版本的XLoader類似。但如前所述,對此新變體的分析顯示出其程式碼及散播方法的改變。我們將會討論這些改變及對Android和Apple裝置的影響。
惡意APK檔
與之前的版本一樣,XLoader 6.0會用社群媒體的使用者檔案來隱藏真實C&C地址,不過這次駭客選擇了之前沒有用過的Twitter。真正的C&C地址被編碼放入Twitter用戶名稱,要解碼才能顯示,這多了一層避免被偵測的機制。可以從圖3和圖4看到相關的程式碼及對應的Twitter帳號。
圖3. 顯示XLoader 6.0用twitter隱藏真實C&C地址的程式碼片段
圖4. 隱藏真實C&C地址的惡意Twitter網頁
版本6.0還加入了“getPhoneState”命令(如圖5所示),它會收集行動裝置的唯一識別碼(如IMSI、ICCID、Android ID和裝置序列號)。考慮到XLoader的其他惡意行為,這種新作法可能很危險,因為駭客能夠用它來進行針對性的攻擊。
圖5. 顯示XLoader 6.0加入新C&C命令getPhoneState的程式碼片段
惡意的iOS描述檔
對於Apple裝置,下載的惡意iOS描述檔會收集以下資訊:
- 唯一裝置識別碼(UDID)
- 國際行動裝置識別碼(IMEI)
- 集成電路卡識別碼(ICCID)
- 行動裝置識別碼(MEID)
- 版本號
- 產品編號
描述檔安裝方式因iOS而異。安裝在版本11.0和11.4上相當容易。如果使用者連上託管描述檔的網站並允許下載安裝,iOS系統會直接進入安裝描述檔頁面(顯示經過驗證的安全憑證),然後要求使用者密碼來進行安裝的最後一步。
圖6. iOS 11.0和iOS 11.4的安裝過程
而之後的版本(特別是iOS 12.1.1和iOS 12.2)過程並不同。下載描述檔後,iOS系統會先要求使用者想安裝描述檔必須到設定內檢查。使用者可以在設定裡看到新下載的描述檔(此功能在iOS 12.2中,但iOS 12.1.1沒有)。這讓使用者可以查看詳細資訊並了解所做的變動。審查後,流程與上述相同。
圖7. iOS 12.1.1和iOS 12.2的安裝過程
安裝描述檔後,使用者會被導到另一個Apple釣魚網站。釣魚網站用收集的資訊作為GET參數,讓駭客可以取得竊取的資料。
圖8. 顯示描述檔收集資料的程式碼片段
進行中的攻擊活動: 偽裝色情應用程式
在監控此一威脅時,我們發現另一款XLoader變種偽裝成針對韓國使用者的色情應用程式。“porn kr sex”會連到背景執行XLoader的惡意網站。此網站使用不同的推特帳號(https://twitter.com/fdgoer343)。不過這波攻擊似乎只針對Android使用者,因為並沒有攻擊iOS裝置的程式碼。
圖9. 新XLoader變種所用的色情網站截圖
持續監控後發現另一個利用社群媒體平台Instagram和Tumblr而非Twitter來隱藏C&C地址的新變種。我們將此新XLoader標記為版本7.0,因為它使用不同的散播方法,用自己的程式碼載入惡意負荷以及會隱藏在Instagram和Tumblr個人檔案裡。這些新發展都顯示XLoader仍在不斷地開發中。
加入與FakeSpy的關聯性
趨勢科技自2018年以來就一直看到XLoader的活動,進行詳細研究後發現大量的活動,可以追溯到2015年1月,其中的一個重大發現是它與FakeSpy的關聯。XLoader 6.0的出現不僅顯示其背後駭客依然活躍;還有與FakeSpy有關聯的新證據。
一個明顯的關聯是XLoader 6.0和FakeSpy使用類似的散播技術。也是山寨了合法日本網站來託管其惡意應用程式,跟FakeSpy之前做過的一樣。檢視下載檔案的命名方法、假網站的網域結構及部署技術等細節就可以更清楚看出它們的相似處(如圖10所示)。
圖10. XLoader(左)和FakeSpy(右)所使用惡意網站的程式碼
XLoader 6.0也用了FakeSpy隱藏真正C&C伺服器的方法。它之前會用數種不同社群媒體平台,現在使用Twitter平台,這是FakeSpy在之前攻擊所做過的事情。分析惡意iOS描述檔的結果也顯示出更進一步的關聯性,因為該描述檔在今年早些時候也可以從FakeSpy部署的網站下載。
結論和安全建議
持續監控XLoader可以看出幕後操作的駭客如何地在不斷改變其功能(如攻擊媒介部署基礎設施和部署技術)。這波新攻擊也可以看出這些演變不會很快就停止。認識到此一事實有助於制定防禦策略,也可以為未來可能的攻擊做好準備。
此外,就跟發現新特徵一樣的重要,找到在不同惡意軟體家族(如FakeSpy等)所看過的特徵也可以提供有價值的見解。Xloader和FakeSpy間的關聯性可以提供更多其背後駭客內部運作方式的相關線索。
如果有關於Xloader的更多資訊將會在之後公佈。使用者可以利用現有知識來降低此類惡意軟體的有效性。iOS使用者可以利用Apple Configurator 2來移除惡意描述檔,它是Apple提供協助管理Apple裝置的官方iOS應用程式。遵循最佳實作,如嚴格限制只從可信來源下載應用程式或檔案及對不明來源的訊息保持小心警慎也可以防止類似攻擊侵害裝置。
趨勢科技解決方案
使用者可以用趨勢科技行動安全防護來封鎖會攻擊此漏洞的惡意應用程式。一般使用者和企業也能利用它所提供的多層次安全防護能力來保護裝置內的個人資料和隱私,不受勒索病毒、詐騙網站和身份竊盜所侵害。企業可以使用趨勢科技的行動安全防護企業版,它提供裝置、合規和應用程式管理,資料保護和設定配置,並且會保護裝置對抗漏洞攻擊,防止未經授權存取以及偵測並封鎖惡意軟體和詐騙網站。
入侵指標
| SHA256 | 套件 | 應用程式名稱 |
| 332e68d865009d627343b89a5744843e3fde4ae870193f36b82980363439a425 | ufD.wykyx.vlhvh | SEX kr porn |
| 403401aa71df1830d294b78de0e5e867ee3738568369c48ffafe1b15f3145588 | ufD.wyjyx.vahvh | 佐川急便 |
| 466dafa82a4460dcad722d2ad9b8ca332e9a896fc59f06e16ebe981ad3838a6b | com.dhp.ozqh | |
| 5022495104c280286e65184e3164f3f248356d065ad76acef48ee2ce244ffdc8 | ufD.wyjyx.vahvh | Anshin Scan |
| a0f3df39d20c4eaa410a61a527507dbc6b17c7f974f76e13181e98225bda0511 | com.aqyh.xolo | 佐川急便 |
| cb412b9a26c1e51ece7a0e6f98f085e1c27aa0251172bf0a361eb5d1165307f7 | jp.co.sagawa.SagawaOfficialApp | 佐川急便 |
| 惡意網址: |
| hxxp://38[.]27[.]99[.]11/xvideo/ |
| hxxp://apple-icloud[.]qwe-japan[.]com |
| hxxp://apple-icloud[.]qwq-japan[.]com/ |
| hxxp://apple-icloud[.]zqo-japan[.]com/ |
| hxxp://files.spamo[.]jp/佐川急便.apk |
| hxxp://mailsa-qae[.]com |
| hxxp://mailsa-qaf[.]com |
| hxxp://mailsa-qau[.]com |
| hxxp://mailsa-qaw[.]com |
| hxxp://mailsa-wqe[.]com |
| hxxp://mailsa-wqo[.]com |
| hxxp://mailsa-wqp[.]com |
| hxxp://mailsa-wqq[.]com |
| hxxp://mailsa-wqu[.]com |
| hxxp://mailsa-wqw[.]com |
| hxxp://nttdocomo-qae[.]com |
| hxxp://nttdocomo-qaq[.]com |
| hxxp://nttdocomo-qaq[.]com/aa |
| hxxp://nttdocomo-qar[.]com |
| hxxp://nttdocomo-qat[.]com |
| hxxp://nttdocomo-qaw[.]com |
| hxxp://sagawa-reg[.]com/ |
| hxxp://www[.]711231[.]com |
| hxxp://www[.]759383[.]com |
| hxxp://www[.]923525[.]com |
| hxxp://www[.]923915[.]com |
| hxxp://www[.]975685[.]com |
| 惡意Twitter帳號: |
| Tweets by lucky88755 |
| Tweets by lucky98745 |
| Tweets by lucky876543 |
| Tweets by luckyone1232 |
| Tweets by sadwqewqeqw |
| Tweets by gyugyu87418490 |
| Tweets by fdgoer343 |
| Tweets by sdfghuio342 |
| Tweets by asdqweqweqeqw |
| Tweets by ukenivor3 |
| 惡意Instagram帳號: |
| https://www.instagram.com/freedomguidepeople1830/ |
| 惡意Tumblr帳號: |
| https://mainsheetgyam.tumblr.com/ |
| https://hormonaljgrj.tumblr.com/ |
| https://globalanab.tumblr.com/ |
| C&C位址: |
| 104[.]160[.]191[.]190:8822 |
| 61[.]230[.]204[.]87:28833 |
| 61[.]230[.]204[.]87:28844 |
| 61[.]230[.]204[.]87:28855 |
| 61[.]230[.]205[.]122:28833 |
| 61[.]230[.]205[.]122:28844 |
| 61[.]230[.]205[.]122:28855 |
| 61[.]230[.]205[.]132:28833 |
| 61[.]230[.]205[.]132:28844 |
| 61[.]230[.]205[.]132:28855 |
@原文出處:New Version of XLoader That Disguises as Android Apps and an iOS Profile Holds New Links to FakeSpy 作者:Lorin Wu(行動威脅分析師)
PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 》即刻免費下載試用