【手機病毒】XLoader變種假冒行動電話電信商,進行簡訊釣魚,Android及 iOS 皆為攻擊目標

XLoader變種會偽裝成Android上的安全防護軟體,同時還會利用惡意iOS描述檔(Configuration Profile)來攻擊iPhone和iPad裝置。

新變種還會山寨日本行動電話電信商的網站), 透過簡訊釣魚(smishing),誘騙使用者下載假的手機安全防護應用程式APK檔。

XLoader變種假冒行動電話電信商,進行簡訊釣魚,Android及 iOS 皆為攻擊目標

惡名昭彰的XLoader 之前曾偽裝成Facebook、Chrome及其他合法應用程式來誘騙使用者下載它的惡意應用程式。趨勢科技研究人員發現了一款使用不同方式來誘騙使用者的新變種。這款新XLoader變種除了會偽裝成Android上的安全防護軟體,同時還會利用惡意iOS描述檔(Configuration Profile)來攻擊iPhone和iPad裝置。除了散播技術的改變,其程式碼的一些變化也讓它跟之前的版本有所區別。這最新的變種被標記為XLoader 6.0 (偵測為AndroidOS_XLoader.HRXD),是之前對此惡意軟體家族進行研究後的最新版本。

感染鏈

此版本的背後黑手利用了數個假網站作為託管主機(特別是會山寨日本行動電話電信商的網站)來誘騙使用者下載假的安全防護應用程式APK檔。監控此波新變種後顯示惡意網站是透過簡訊釣魚(smishing)散播。在本文撰寫時感染尚未廣泛地散播,但我們已經看到許多使用者收到了簡訊。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/03/Figure-1-Screenshot-of-a-fake-website-that-hosts-XLoader-640x480.jpg

圖1. 託管XLoader的假網站截圖

在之前,XLoader能夠在電腦上挖掘虛擬貨幣,並在iOS裝置上進行帳號釣魚。而此波新攻擊還能根據裝置類型來提供不同的攻擊載體。

對於Android裝置,訪問惡意網站或點擊任何按鈕將會提示下載APK檔。但要成功安裝此惡意APK檔案需要使用者設定允許安裝未知來源的應用程式。如果使用者允許安裝此類應用程式,就能夠主動安裝在受害者的裝置上。

而Apple裝置所面臨的感染鏈則稍微迂迴。連到同一個惡意網站會將使用者導向另一個惡意網站(hxxp://apple-icloud[.]qwq-japan[.]com或hxxp://apple-icloud[.]zqo-japan[.]com)來提示使用者安裝惡意iOS描述檔以解決網站無法被載入的網路問題。如果使用者安裝了描述檔,就會開啟如圖2所示的Apple釣魚網站。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/03/Figure-2-Screenshots-of-the-malicious-websites-for-iOS-device-users.jpg

圖2. iOS裝置使用者會看到的惡意網站截圖

技術分析

新一波攻擊的大多數行為跟之前版本的XLoader類似。但如前所述,對此新變體的分析顯示出其程式碼及散播方法的改變。我們將會討論這些改變及對Android和Apple裝置的影響。

惡意APK

與之前的版本一樣,XLoader 6.0會用社群媒體的使用者檔案來隱藏真實C&C地址,不過這次駭客選擇了之前沒有用過的Twitter。真正的C&C地址被編碼放入Twitter用戶名稱,要解碼才能顯示,這多了一層避免被偵測的機制。可以從圖3和圖4看到相關的程式碼及對應的Twitter帳號。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/03/Figure-3-Code-snippets-showing-XLoader-6.0-abusing-twitter-to-hide-the-real-CC-address.jpg

圖3. 顯示XLoader 6.0用twitter隱藏真實C&C地址的程式碼片段

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/03/Figure-4.jpg

圖4. 隱藏真實C&C地址的惡意Twitter網頁

版本6.0還加入了“getPhoneState”命令(如圖5所示),它會收集行動裝置的唯一識別碼(如IMSI、ICCID、Android ID和裝置序列號)。考慮到XLoader的其他惡意行為,這種新作法可能很危險,因為駭客能夠用它來進行針對性的攻擊。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/03/Figure-5-Code-snippets-that-show-XLoader-6.0-adding-a-new-CC-command-getPhoneState-640x97.jpg

圖5. 顯示XLoader 6.0加入新C&C命令getPhoneState的程式碼片段

惡意的iOS描述檔

對於Apple裝置,下載的惡意iOS描述檔會收集以下資訊:

  • 唯一裝置識別碼(UDID)
  • 國際行動裝置識別碼(IMEI)
  • 集成電路卡識別碼(ICCID)
  • 行動裝置識別碼(MEID)
  • 版本號
  • 產品編號

描述檔安裝方式因iOS而異。安裝在版本11.0和11.4上相當容易。如果使用者連上託管描述檔的網站並允許下載安裝,iOS系統會直接進入安裝描述檔頁面(顯示經過驗證的安全憑證),然後要求使用者密碼來進行安裝的最後一步。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/03/Figure-6-Installation-process-for-iOS-11.0-and-iOS-11.4.jpg

圖6. iOS 11.0和iOS 11.4的安裝過程

而之後的版本(特別是iOS 12.1.1和iOS 12.2)過程並不同。下載描述檔後,iOS系統會先要求使用者想安裝描述檔必須到設定內檢查。使用者可以在設定裡看到新下載的描述檔(此功能在iOS 12.2中,但iOS 12.1.1沒有)。這讓使用者可以查看詳細資訊並了解所做的變動。審查後,流程與上述相同。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/03/Figure-7-Installation-process-for-iOS-12.1.1-and-iOS-12.2-640x284.jpg

圖7. iOS 12.1.1和iOS 12.2的安裝過程

安裝描述檔後,使用者會被導到另一個Apple釣魚網站。釣魚網站用收集的資訊作為GET參數,讓駭客可以取得竊取的資料。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/03/Figure-8-Code-snippet-showing-how-the-profile-gathers-information-640x557.jpg

圖8. 顯示描述檔收集資料的程式碼片段

進行中的攻擊活動: 偽裝色情應用程式

在監控此一威脅時,我們發現另一款XLoader變種偽裝成針對韓國使用者的色情應用程式。“porn kr sex”會連到背景執行XLoader的惡意網站。此網站使用不同的推特帳號(https://twitter.com/fdgoer343)。不過這波攻擊似乎只針對Android使用者,因為並沒有攻擊iOS裝置的程式碼。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/03/Figure-9-Screenshot-of-pornography-website-used-by-the-new-XLoader-variant.jpg

圖9. 新XLoader變種所用的色情網站截圖

持續監控後發現另一個利用社群媒體平台Instagram和Tumblr而非Twitter來隱藏C&C地址的新變種。我們將此新XLoader標記為版本7.0,因為它使用不同的散播方法,用自己的程式碼載入惡意負荷以及會隱藏在Instagram和Tumblr個人檔案裡。這些新發展都顯示XLoader仍在不斷地開發中。

加入與FakeSpy的關聯性

趨勢科技2018年以來就一直看到XLoader的活動,進行詳細研究後發現大量的活動,可以追溯到2015年1月,其中的一個重大發現是它與FakeSpy的關聯。XLoader 6.0的出現不僅顯示其背後駭客依然活躍;還有與FakeSpy有關聯的新證據。

一個明顯的關聯是XLoader 6.0和FakeSpy使用類似的散播技術。也是山寨了合法日本網站來託管其惡意應用程式,跟FakeSpy之前做過的一樣。檢視下載檔案的命名方法、假網站的網域結構及部署技術等細節就可以更清楚看出它們的相似處(如圖10所示)。

https://blog.trendmicro.com/trendlabs-security-intelligence/files/2019/04/Figure-10-Source-code-for-malicious-websites-used-by-XLoader-and-FakeSpy-640x256.jpg

圖10. XLoader(左)和FakeSpy(右)所使用惡意網站的程式碼

XLoader 6.0也用了FakeSpy隱藏真正C&C伺服器的方法。它之前會用數種不同社群媒體平台,現在使用Twitter平台,這是FakeSpy在之前攻擊所做過的事情。分析惡意iOS描述檔的結果也顯示出更進一步的關聯性,因為該描述檔在今年早些時候也可以從FakeSpy部署的網站下載。

結論和安全建議

持續監控XLoader可以看出幕後操作的駭客如何地在不斷改變其功能(如攻擊媒介部署基礎設施和部署技術)。這波新攻擊也可以看出這些演變不會很快就停止。認識到此一事實有助於制定防禦策略,也可以為未來可能的攻擊做好準備。

此外,就跟發現新特徵一樣的重要,找到在不同惡意軟體家族(如FakeSpy等)所看過的特徵也可以提供有價值的見解。Xloader和FakeSpy間的關聯性可以提供更多其背後駭客內部運作方式的相關線索。

如果有關於Xloader的更多資訊將會在之後公佈。使用者可以利用現有知識來降低此類惡意軟體的有效性。iOS使用者可以利用Apple Configurator 2來移除惡意描述檔,它是Apple提供協助管理Apple裝置的官方iOS應用程式。遵循最佳實作,如嚴格限制只從可信來源下載應用程式或檔案及對不明來源的訊息保持小心警慎也可以防止類似攻擊侵害裝置。

趨勢科技解決方案

使用者可以用趨勢科技行動安全防護來封鎖會攻擊此漏洞的惡意應用程式。一般使用者和企業也能利用它所提供的多層次安全防護能力來保護裝置內的個人資料和隱私,不受勒索病毒、詐騙網站和身份竊盜所侵害。企業可以使用趨勢科技的行動安全防護企業版,它提供裝置、合規和應用程式管理,資料保護和設定配置,並且會保護裝置對抗漏洞攻擊,防止未經授權存取以及偵測並封鎖惡意軟體和詐騙網站。

入侵指標

SHA256 套件 應用程式名稱
332e68d865009d627343b89a5744843e3fde4ae870193f36b82980363439a425 ufD.wykyx.vlhvh SEX kr porn
403401aa71df1830d294b78de0e5e867ee3738568369c48ffafe1b15f3145588 ufD.wyjyx.vahvh 佐川急便
466dafa82a4460dcad722d2ad9b8ca332e9a896fc59f06e16ebe981ad3838a6b com.dhp.ozqh Facebook
5022495104c280286e65184e3164f3f248356d065ad76acef48ee2ce244ffdc8 ufD.wyjyx.vahvh Anshin Scan
a0f3df39d20c4eaa410a61a527507dbc6b17c7f974f76e13181e98225bda0511 com.aqyh.xolo 佐川急便
cb412b9a26c1e51ece7a0e6f98f085e1c27aa0251172bf0a361eb5d1165307f7 jp.co.sagawa.SagawaOfficialApp 佐川急便
惡意網址:
hxxp://38[.]27[.]99[.]11/xvideo/
hxxp://apple-icloud[.]qwe-japan[.]com
hxxp://apple-icloud[.]qwq-japan[.]com/
hxxp://apple-icloud[.]zqo-japan[.]com/
hxxp://files.spamo[.]jp/佐川急便.apk
hxxp://mailsa-qae[.]com
hxxp://mailsa-qaf[.]com
hxxp://mailsa-qau[.]com
hxxp://mailsa-qaw[.]com
hxxp://mailsa-wqe[.]com
hxxp://mailsa-wqo[.]com
hxxp://mailsa-wqp[.]com
hxxp://mailsa-wqq[.]com
hxxp://mailsa-wqu[.]com
hxxp://mailsa-wqw[.]com
hxxp://nttdocomo-qae[.]com
hxxp://nttdocomo-qaq[.]com
hxxp://nttdocomo-qaq[.]com/aa
hxxp://nttdocomo-qar[.]com
hxxp://nttdocomo-qat[.]com
hxxp://nttdocomo-qaw[.]com
hxxp://sagawa-reg[.]com/
hxxp://www[.]711231[.]com
hxxp://www[.]759383[.]com
hxxp://www[.]923525[.]com
hxxp://www[.]923915[.]com
hxxp://www[.]975685[.]com
惡意Twitter帳號:
https://twitter.com/lucky88755
https://twitter.com/lucky98745
https://twitter.com/lucky876543
https://twitter.com/luckyone1232
https://twitter.com/sadwqewqeqw
https://twitter.com/gyugyu87418490
https://twitter.com/fdgoer343
https://twitter.com/sdfghuio342
https://twitter.com/asdqweqweqeqw
https://twitter.com/ukenivor3
惡意Instagram帳號:
https://www.instagram.com/freedomguidepeople1830/
惡意Tumblr帳號:
https://mainsheetgyam.tumblr.com/
https://hormonaljgrj.tumblr.com/
https://globalanab.tumblr.com/
C&C位址:
104[.]160[.]191[.]190:8822
61[.]230[.]204[.]87:28833
61[.]230[.]204[.]87:28844
61[.]230[.]204[.]87:28855
61[.]230[.]205[.]122:28833
61[.]230[.]205[.]122:28844
61[.]230[.]205[.]122:28855
61[.]230[.]205[.]132:28833
61[.]230[.]205[.]132:28844
61[.]230[.]205[.]132:28855

@原文出處:New Version of XLoader That Disguises as Android Apps and an iOS Profile Holds New Links to FakeSpy 作者:Lorin Wu(行動威脅分析師)

PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅 》即刻免費下載試用