2018年4月,卡巴斯基实验室发布了一篇名为“Roaming Mantis使用DNS劫持来感染Android智能手机”的博客blogpost。Roaming Mantis使用Android恶意软件,旨在通过DNS劫持进行传播并以Android设备为目标。根据我们的遥测数据,该活动主要集中在亚洲(韩国,孟加拉国和日本)。潜在的受害者被DNS劫持重定向到一个恶意网页,恶意网页发布了一个伪装成Facebook或Chrome的特洛伊应用程序,然后由用户手动安装。该应用程序实际上包含一个Android木马银行。
它引起了我们的注意,在我们发布后不久,其他研究人员也专注于这个恶意软件家族。我们发布了博客之后又发了另一份出版物。我们想感谢来自其他安全公司McAfee、TrendMicro的同事独立开展的关于这项威胁的很棒的工作。如果对这个主题感兴趣,以下文章很有用:
· Android Banking Trojan MoqHao Spreading via SMS Phishing in South Korea
· XLoader Android Spyware and Banking Trojan Distributed via DNS Spoofing
今年5月,在监测Roaming Mantis(又名MoqHao和XLoader)时,我们观察到他们的M.O。该组织的活动范围扩大了,并改善了他们的攻击/逃避方法。他们的登陆页和恶意apk文件现在支持27种语言,覆盖欧洲和中东地区。此外,犯罪分子还为iOS设备增加了钓鱼选项,并为PC增加了挖矿功能。
一、27种语言: 针对全球
在之前的博文中,我们提到用户在使用被劫持的DNS时试图连接到任何网站时,将被重定向到恶意服务器上的恶意登陆页。登陆页面显示与设备的语言设置相对应的弹框消息,并促使用户下载名为'facebook.apk'或'chrome.apk'的恶意apk文件。卡巴斯基实验室在HTML源代码中确认了硬编码的几种语言的登陆页显示弹框消息。
攻击者将目标语言从四种扩展到了27种,包括欧洲和中东的语言。然而,他们不断以简体中文添加评论。而且,这种多语言不仅局限于登陆页。最新的恶意apk(MD5:“fbe10ce5631305ca8bf8cd17ba1a0a35”)也扩展为支持27种语言。
登陆页和恶意apk现在支持以下语言:
· Arabic
· Bulgarian
· Bengali
· Czech
· German
· English
· Spanish
· Hebrew
· Hindi
· Armenian
· Indonesian
· Italian
· Japanese
· Georgian
· Korean
· Malay
· Polish
· Portuguese
· Russian
· Serbo-Croatian
· Thai
· Tagalog
· Turkish
· Ukrainian
· Vietnamese
· Traditional Chinese
· Simplified Chinese
我们相信攻击者利用一种简单的方法来感染更多的用户,通过用自动翻译器翻译初始语言集。
二、针对iOS 设备的Apple钓鱼网站
以前,这个犯罪组织只专注于Android设备。从那以后,他们显然改变了金钱战略。攻击者现在也瞄准iOS设备,使用钓鱼网站窃取用户凭证。当用户通过iOS设备连接到登录页面时,用户被重定向到http://security.apple.com/:
合法的DNS服务器将无法解析像这样域名,因为它根本不存在。但是,通过受感染路由器连接的用户可以访问登录页面,因为流氓DNS服务将该域名解析为IP地址172.247.116[.]155。这是一个仿冒苹果网站的钓鱼页面,在浏览器的地址栏中提供了令人放心的域名security.apple.com。
钓鱼网站窃取用户ID、密码、信用卡号,卡的到期日期和CVV。钓鱼网站的HTML源代码也支持25种语言。
受支持的语言与登陆页和恶意apk文件几乎相同,只是没有包含孟加拉语和格鲁吉亚语。
三、为PC增加Web挖矿功能
通过查看登陆页的HTML源代码,我们还发现了一项新功能:通过在浏览器中执行特殊脚本进行web挖矿。关于网络矿工的更多细节可以在我们的博文“Mining is the new black”中找到。
Coinhive是世界各地网络犯罪分子都使用的最受欢迎的web矿工。当用户从PC连接到登录页面时,由于浏览器中的挖矿活动,CPU使用率将大幅增加。
四、真正的C2隐藏在邮件主题中
旧版的恶意apk样本包括合法网站、帐户和用于获取真实C2地址的正则表达式,恶意软件通过使用Web套接字连接到该地址。在最近的样本中获得其C2变化的过程在下面将进一步描述:
旧版的样本通过访问合法网站获取下一个C2,从HTML代码的特定部分提取中文字符串并对其进行解码。这个方案在最近的样本中已经改变。它不使用HTML协议,而是使用电子邮件协议来获取C2。
恶意软件通过POP3使用硬编码的outlook.com凭证连接到电子邮件收件箱。然后获得电子邮件主题(中文),并使用字符串“abcd”作为标志提取真正的C2地址。旧版和新版解码函数完全相同。
我们解码了下一阶段C2服务器如下所示:
· 220.136.78[.]40
· 220.136.73[.]107
五、后门命令ping
卡巴斯基实验室观察到,先前的恶意apk(MD5:f3ca571b2d1f0ecff371fb82119d1afe)有18个后门命令来确认受害者的环境并控制设备。根据我们的分析,最近的恶意apk(MD5:fbe10ce5631305ca8bf8cd17ba1a0a35)现在实现了19个后门命令:加入了“ping”。
最近样本中的后门命令如下所示:
· sendSms
· setWifi
· gcont
· lock
· bc
· setForward
· getForward
· hasPkg
· setRingerMode
· setRecEnable
· reqState
· showHome
· getnpki
· http
· onRecordAction
· call
· get_apps
· show_fs_float_window
· ping NEW
新加命令使用C2服务器的IP地址为参数调用OS Ping命令。通过执行此操作,攻击者可以验证服务器的可用性,数据包传播时间或检测目标网络中的网络过滤。此功能也可用于检测半独立的研究环境。
六、自动生成apk文件和文件名
Roaming Mantis在恶意服务器上使用非常简单的检测规避技巧。它需要使用八个随机数为登陆页面生成恶意apk文件名。
除了文件名之外,我们还观察到,截至2018年5月16日,所有下载的恶意apk文件都是独一无二的,因为它们是实时生成的。看起来攻击者在每次下载时都会自动生成apk文件,以避免文件哈希被列入黑名单,这是一项新功能。根据我们的监测,2018年5月8日下载的apk样本都是一样的。
但是,恶意apk在classes.dex内还包含一个loader,并且在\assets\data.sql中包含一个加密的载荷,它们都与以前的变种是相同的。对于安全研究人员,我们已经在本报告的IoC中添加了解密后有效载荷的MD5哈希值,而不是整个apk文件的哈希值,还有一些完整的apk哈希值已上传到VirusTotal。
七、不断改进恶意apk和登陆页
自从我们的第一份报告以来,Roaming Mantis迅速发展。其更新历史记录显示了威胁的增长速度:
背后的攻击者一直在非常积极改进他们的工具。如下图所示,根据KSN数据显示的每天检测到的用户数,数字在5月5日增加。该日期非常接近登陆页上新功能的更新日期。
八、地盘扩张
卡巴斯基实验室产品检测到Roaming Mantis的恶意apk文件为Trojan-Banker.AndroidOS.Wroba。下图是卡巴斯基安全网络(KSN)根据判决'Trojan-Banker.AndroidOS.Wroba.al'提供的2018年5月1日至5月10日的数据。
由此可见,韩国、孟加拉国和日本不再是受影响最严重的国家;相反,俄罗斯、乌克兰和印度首当其冲。根据2月9日至9月9日收集的数据,每天用户数为150.值得一提的是,最新数据显示,超过120名卡巴斯基实验室产品的用户在短短10天内受到影响。此外,重要的是要注意我们在KSN看到的数据可能只是整个全景的一小部分。有两个原因:
1.某些用户可能正在使用其他AV产品或根本没有产品。
2.Roaming Mantis使用DNS劫持,这甚至会阻止客户报告检测结果。但是,有些设备未受影响,可能是因为切换到蜂窝数据或连接到另一个Wi-Fi网络。
九、总结
Roaming Mantis在短时间内发生了显著变化。此攻击的最早报道于2017年8月由McAfee的研究人员公布。当时,Roaming Mantis分发方法是SMS,并且只有一个目标:韩国。当我们在2018年4月首次报告此攻击时,它已经实施了DNS劫持并将其目标扩大到了更广泛的亚洲地区。在今年4月份的报告中,我们称其为一种积极且迅速变化的威胁。新的证据表明,目标的地盘已扩张到欧洲、中东和其他地区的国家,共支持27种语言。攻击者已经超越了Android设备,将iOS作为新的目标,最近开始瞄准PC平台——感染的用户重定向到目标网页,现在配备了Coinhive web挖矿工。Roaming Mantis使用的逃避技术也变得更复杂。本文描述的最近增加的几个例子包括通过使用电子邮件POP协议获取C2的新方法、服务器端动态自动生成更改apk文件/文件名的方法以及包含附加命令以潜在地帮助识别研究,所有这些都被添加了。行动的快速增长意味着它背后的那些人有强烈的金钱动机,并且可能资金充足。
IoCs
恶意主机:
· 43.240.14[.]44
· 118.168.201[.]70 NEW
· 118.168.202[.]125 NEW
· 128.14.50[.]147
· 172.247.116[.]155 NEW
· 220.136.73[.]107 NEW
· 220.136.76[.]200
· 220.136.78[.]40 NEW
· 220.136.111[.]66
· 220.136.179[.]5
· 220.136.182[.]72 NEW
· shaoye11.hopto[.]org
· haoxingfu01.ddns[.]net
恶意apks:
· 03108e7f426416b0eaca9132f082d568
· 07eab01094567c6d62a73f7098634eb8 NEW
· 1cc88a79424091121a83d58b6886ea7a
· 2a1da7e17edaefc0468dbf25a0f60390
· 31e61e52d38f19cf3958df2239fba1a7
· 34efc3ebf51a6511c0d12cce7592db73
· 4d9a7e425f8c8b02d598ef0a0a776a58
· 531714703557a58584a102ecc34162ff NEW
· 904b4d615c05952bcf58f35acadee5c1
· 9f94c34aae5c7d50bc0997d043df032b NEW
· a21322b2416fce17a1877542d16929d5
· b84b0d5f128a8e0621733a6f3b412e19
· bd90279ad5c5a813bc34c06093665e55
· cc1e4d3af5698feb36878df0233ab14a NEW
· ff163a92f2622f2b8330a5730d3d636c
· 808b186ddfa5e62ee882d5bdb94cc6e2
· ee0718c18b2e9f941b5d0327a27fbda1 NEW
classes.dex:
· 13c8dda30b866e84163f82b95008790a NEW
· 19e3daf40460aea22962d98de4bc32d2
· 1b984d8cb76297efa911a3c49805432e NEW
· 36b2609a98aa39c730c2f5b49097d0ad
· 3ba4882dbf2dd6bd4fc0f54ec1373f4c
· 46c34be9b3ff01e73153937ef35b0766 NEW
· 5145c98d809bc014c3af39415be8c9ac NEW
· 6116dc0a59e4859a32caddaefda4dbf4 NEW
· 8a4ed9c4a66d7ccb3d155f85383ea3b3
· a5d2403b98cddcd80b79a4658df4d147 NEW
· b43335b043212355619fd827b01be9a0
· b4152bee9eca9eb247353e0ecab37aa5 NEW
· b7afa4b2dafb57886fc47a1355824199
· bf5538df0688961ef6fccb5854883a20 NEW
· f89214bfa4b4ac9000087e4253e7f754
· 6cac4c9eda750a69e435c801a7ca7b8d
· e56cccd689a9e354cb539bb069733a43 NEW
· fe0198f4b3d9dc501c2b7db2750a228b NEW
从\assets\data.sql解密的载荷
· 1bd7815bece1b54b7728b8dd16f1d3a9
· 28ef823d10a3b78f8840310484e3cc69 NEW
· 307d2780185ba2b8c5ad4c9256407504
· 3e01b64fb9fe9605fee7c07e42907a3b NEW
· 3e4bff0e8ed962f3c420692a35d2e503
· 3ed3b8ecce178c2e977a269524f43576 NEW
· 57abbe642b85fa00b1f76f62acad4d3b
· 6e1926d548ffac0f6cedfb4a4f49196e
· 6d5f6065ec4112f1581732206539e72e NEW
· 7714321baf6a54b09baa6a777b9742ef
· 7aa46b4d67c3ab07caa53e8d8df3005c
· a0f88c77b183da227b9902968862c2b9
· b964645e76689d7e0d09234fb7854ede
原文发布时间为:2018-05-21
