新型Drinik安卓恶意软件变种针对印度纳税人回归
去年10月,Cyble的分析师发表了一篇关于Drinik恶意软件回归的文章,该恶意软件最初由CERT-In在2016年发现。上个月正值纳税季,伦敦大学学院(UCL)研究短信网络钓鱼的博士生Sharad Agarwal发现并识别出了一个更新版本的Drinik恶意软件,该软件冒充印度所得税部门,针对受害者的UPI(统一支付接口)支付应用。
iAssist.apk恶意软件通过URL hxxp://198[.]46[.]177[.]176/IT-R/?id={手机号码}传播,用户被欺骗下载这个冒充印度所得税部门的新版本应用。与Daniel Arp一起,我们分析了该恶意软件样本,以检查与之前版本相比的新功能。下面我们简要概述我们的发现。
通信
我们的分析发现,该恶意软件与命令与控制(C&C)服务器hxxp://msr[.]servehttp[.]com通信,该服务器托管在IP 107[.]174[.]45[.]116上。它还会静默地将托管在C&C上的另一个恶意APK文件投放到受害者手机上,该文件已在VirusTotal上被识别并标记为恶意软件——“GAnalytics.apk”。
之前的活动使用不同的IP进行C&C通信。然而,IP地址的托管提供商"ColoCrossing"与之前活动相同。这强烈表明两个活动背后的威胁行为者是同一组织,并再次滥用同一托管提供商。正如之前该恶意软件版本的报道,最新版本的恶意软件也会录制移动设备的屏幕并将录制数据发送到C&C服务器(见图1)。
图1:将录制视频上传到外部C&C服务器的功能
此外,我们还发现了犯罪分子通过此恶意软件发送短信所使用的电话号码(见表1)。恶意APK在安装期间要求READ、WRITE、RECEIVE和SEND SMS权限,除非用户接受所有权限,否则无法工作(见表2)。
| 指标类型 | 指标 |
|---|---|
| MD5 | 02e0f25d4a715e970cb235f781c855de |
| SHA256 | 99422143d1c7c82af73f8fdfbf5a0ce4ff32f899014241be5616a804d2104ebf |
| C&C主机名 | hxxp://msr[.]servehttp[.]com |
| C&C IP地址 | 107[.]174[.]45[.]116 |
| 投放APK URL | hxxp://107[.]174[.]45[.]116/a/GAnalytics[.]apk |
| 投放APK MD5 | 95adedcdcb650e476bfc1ad76ba09ca1 |
| 投放APK SHA256 | 095fde0070e8c1a10342ab0c1edbed659456947a2d4ee9a412f1cd1ff50eb797 |
| 目标UPI应用 | Paytm、Phonepe和GooglePay |
| 短信发送至电话号码 | +91-7829-806-961(Vodafone)、+91-7414-984-964(Airtel, Jaora, Madhya Pradesh)和+91-9686-590-728(Airtel, Karnataka) |
表1:入侵指标(IoCs)
混淆
与之前报告的iAssist恶意软件版本类似,此版本也使用WebView加载合法的印度所得税网站hxxps://eportal[.]incometax[.]gov[.]in,如图2所示。这个新版本使用不同的字符串混淆技术来规避防病毒产品的检测并阻碍其分析。图3中的代码显示了恶意软件类azure.axs.iAssist.Bcq中使用的去混淆方法。
图2:恶意软件加载印度所得税部门网站
图3:恶意软件中发现的字符串去混淆代码
针对UPI支付应用
我们在类azure.axs.iAssist.Jcm的onCreate方法的反汇编代码中发现了以下字符串。这些表明此版本的恶意软件针对UPI支付应用:
“由于您的银行服务器未及时响应,向您账户存入的59,000卢比已被撤销。请打开GooglePay应用并检查您的账户余额以进行验证。如果您的账户余额不正确,请立即联系支持。”
“由于您的银行服务器未及时响应,向您账户存入的59,000卢比已被撤销。请打开Paytm应用并检查您的账户余额以进行验证。如果您的账户余额不正确,请立即联系支持。”
“由于您的银行服务器未及时响应,向您账户存入的59,000卢比已被撤销。请打开Phonepe应用并检查您的账户余额以进行验证。如果您的账户余额不正确,请立即联系支持。”
在识别恶意软件并分析其功能后,已向印度计算机应急响应小组(CERT-In)报告以采取必要行动。
| 权限 | 描述 |
|---|---|
| READ_SMS | 允许应用访问短信消息 |
| WRITE_SMS | 允许应用起草短信消息 |
| SEND_SMS | 允许应用发送短信消息 |
| RECEIVE_SMS | 允许应用接收短信消息 |
| DOWNLOAD_WITHOUT_NOTIFICATION | 允许应用在不通知用户的情况下下载内容 |
| POST_NOTIFICATIONS | 允许应用发布通知 |
| REQUEST_INSTALL_PACKAGES | 允许应用请求安装包 |
| DISABLE_KEYGUARD | 允许应用禁用键盘锁和任何相关的密码安全 |
| WRITE_EXTERNAL_STORAGE | 允许应用写入外部存储 |
| READ_EXTERNAL_STORAGE | 允许应用读取外部存储 |
| WAKE_LOCK | 允许应用使用PowerManager WakeLocks防止处理器休眠或屏幕变暗 |
| USE_BIOMETRIC | 允许应用使用生物识别硬件进行身份验证 |
| USE_FINGERPRINT | 允许应用使用指纹硬件进行身份验证 |
| VIBRATE | 允许应用访问振动器 |
表2:iAssist.apk权限