新型Drinik安卓恶意软件变种分析:针对印度纳税人的移动威胁
发现背景
去年10月,Cyble分析师曾报道过首次由CERT-In在2016年发现的Drinik恶意软件重新出现。在上个月的报税季期间,伦敦大学学院(UCL)研究短信钓鱼的博士生Sharad Agarwal发现并识别出了一个更新版本的Drinik恶意软件。该恶意软件伪装成印度所得税部门,针对受害者的UPI(统一支付接口)支付应用进行攻击。
传播方式
iAssist.apk恶意软件通过URL hxxp://198[.]46[.]177[.]176/IT-R/?id={手机号码}进行传播,用户被欺骗下载这个伪装成印度所得税部门的新版本应用。与Daniel Arp一起,我们分析了该恶意软件样本,以检查与之前版本相比的新功能。
通信机制
分析发现,恶意软件与命令与控制(C&C)服务器hxxp://msr[.]servehttp[.]com进行通信,该服务器托管在IP 107[.]174[.]45[.]116上。它还会静默地在受害者手机上投放另一个托管在C&C上的恶意APK文件,该文件在VirusTotal上已被识别并标记为恶意软件——“GAnalytics.apk”。
之前的攻击活动使用了不同的IP进行C&C通信。然而,IP地址的托管提供商"ColoCrossing"与之前的活动相同。这强烈表明这两次活动背后的威胁行为者是同一组织,并且再次滥用相同的托管提供商。
与此恶意软件之前版本的报道一致,最新版本的恶意软件也会记录移动设备的屏幕并将记录的数据发送到C&C服务器(见图1)。
图1:将录制视频上传到外部C&C服务器的功能
此外,我们还发现了犯罪分子通过此恶意软件发送短信所使用的电话号码(见表1)。恶意APK在安装期间要求READ、WRITE、RECEIVE和SEND SMS权限,除非用户接受所有权限,否则无法工作(见表2)。
技术指标
| 指标类型 | 指标值 |
|---|---|
| MD5 | 02e0f25d4a715e970cb235f781c855de |
| SHA256 | 99422143d1c7c82af73f8fdfbf5a0ce4ff32f899014241be5616a804d2104ebf |
| C&C主机名 | hxxp://msr[.]servehttp[.]com |
| C&C IP地址 | 107[.]174[.]45[.]116 |
| 投放的APK URL | hxxp://107[.]174[.]45[.]116/a/GAnalytics[.]apk |
| 投放的APK MD5 | 95adedcdcb650e476bfc1ad76ba09ca1 |
| 投放的APK SHA256 | 095fde0070e8c1a10342ab0c1edbed659456947a2d4ee9a412f1cd1ff50eb797 |
| 目标UPI应用 | Paytm、Phonepe和GooglePay |
| 短信发送至电话号码 | +91-7829-806-961 (Vodafone)、+91-7414-984-964 (Airtel, Jaora, Madhya Pradesh)、+91-9686-590-728 (Airtel, Karnataka) |
表1:入侵指标(IoCs)
混淆技术
与之前报道的iAssist恶意软件版本类似,此版本也使用WebView加载合法的印度所得税网站hxxps://eportal[.]incometax[.]gov[.]in,如图2所示。这个新版本使用了不同的字符串混淆技术,以规避防病毒产品的检测并阻碍分析。图3中的代码显示了恶意软件类azure.axs.iAssist.Bcq中使用的反混淆方法。
图2:恶意软件加载印度所得税部门网站
图3:恶意软件中发现的字符串反混淆代码
针对UPI支付应用
我们在类azure.axs.iAssist.Jcm的onCreate方法的反汇编代码中发现了以下字符串。这些表明此版本的恶意软件针对UPI支付应用:
- “由于您的银行服务器未及时响应,向您账户存入的59,000卢比已被退回。请打开GooglePay应用并检查您的账户余额以进行验证。如果您的账户余额不正确,请立即联系支持。”
- “由于您的银行服务器未及时响应,向您账户存入的59,000卢比已被退回。请打开Paytm应用并检查您的账户余额以进行验证。如果您的账户余额不正确,请立即联系支持。”
- “由于您的银行服务器未及时响应,向您账户存入的59,000卢比已被退回。请打开Phonepe应用并检查您的账户余额以进行验证。如果您的账户余额不正确,请立即联系支持。”
权限滥用
| 权限 | 描述 |
|---|---|
| READ_SMS | 允许应用访问短信消息 |
| WRITE_SMS | 允许应用起草短信消息 |
| SEND_SMS | 允许应用发送短信消息 |
| RECEIVE_SMS | 允许应用接收短信消息 |
| DOWNLOAD_WITHOUT_NOTIFICATION | 允许应用在不向用户发出通知的情况下下载内容 |
| POST_NOTIFICATIONS | 允许应用发布通知 |
| REQUEST_INSTALL_PACKAGES | 允许应用请求安装包 |
| DISABLE_KEYGUARD | 允许应用禁用键盘锁和任何相关的密码安全 |
| WRITE_EXTERNAL_STORAGE | 允许应用写入外部存储 |
| READ_EXTERNAL_STORAGE | 允许应用从外部存储读取 |
| WAKE_LOCK | 允许应用使用PowerManager WakeLocks防止处理器休眠或屏幕变暗 |
| USE_BIOMETRIC | 允许应用使用生物识别硬件进行身份验证 |
| USE_FINGERPRINT | 允许应用使用指纹硬件进行身份验证 |
| VIBRATE | 允许应用访问振动器 |
表2:iAssist.apk权限
在识别恶意软件并分析其功能后,已向印度计算机应急响应小组(CERT-In)报告以采取必要措施。