FreeBuf首发专业认证：Android Cerberus恶意样本分析-ODAILY

AndroidCerberus恶意样本分析恶意样本特征流程概览内存解密新dex地区白名单隐藏图标定时触发保活广播计步机制触发与C2服务器通信更新攻击命令忽略电池优化窃听短信消息激活设备管理员启动后台服务诱导启用无障碍服务请求窃听短信所需的权限启动设备锁更新辅助服务状态到payload无障碍服务木马传播机制总结参考文章

AndroidCerberus恶意样本分析

前段时间网上流传Android平台Cerberus木马家族出现了新的变种，在网上找了一番没有找到新变种的木马样本反而找到了2019年6月披露的一批样本，这里挑选了其中一个样本深入的分析下看看Cerberus木马的工作机制。

Cerberus木马的详细介绍可以阅读之前发的文章：https://mp.weixin.qq.com/s/UewBO4RgTlh9vBKzqYXEcQ

恶意样本特征

样本名称：FlashPlayer

应用包名：com.uxlgtsvfdc.zipvwntdy

SHA-256：728a6ea44aab94a2d0ebbccbf0c1b4a93fbd9efa8813c19a88d368d6a46b4f4f

流程概览

恶意样本的执行流程大概如下：

Cashfree推出提供卡代币化互操作性的解决方案“Token Vault”:6月29日消息，支付提供商Cashfree Payments周三宣布其代币化解决方案“Token Vault”将提供卡代币化的互操作性。Token Vault的互操作性特性将帮助使用多个支付网关的企业通过其选择的任何支付网关和卡网络处理代币化卡交易。

使用Cashfree支付网关的企业可以与Token Vault集成，以安全地代币化所有主要卡网络发行的卡，包括RuPay、Visa和万事达卡。藉由此功能，企业将不再需要花费时间与多个代币服务提供商集成来代币化卡和执行交易。（The Economic Times）[2022/6/29 1:39:12]

内存解密新dex

Android应用程序必须在AndroidManifest.xml文件中声明其使用的服务、广播接收器和活动组件才能使用它们。在反编译Cerberus恶意样本中很明显能看到其使用的服务、广播接收器和活动等组件并不在主dex文件中，所以这里基本可以判断其核心dex文件是在内存中动态解密的。

地区白名单

恶意样本在解密释放新的dex文件后判断当前感染者所在国是否在白名单中，如果在白名单中则不执行恶意行为。

知名投资人Fred Wilson：以太坊需求侧起飞增长，推高ETH币价格:Twitter 等知名互联网企业的投资人、联合广场基金联合创始人 Fred Wilson 昨日在博客表示，过去十二年里绝大多数加密区块链网络主要以购买、持有、投机为主，这些行为为区块链网络的供给侧提供了资金支持，但以太坊和一些区块链网络正在改变现状，你需要 ETH 才能在以太坊网络上做事情，比如像我一样购买域名、P2P 金融、购买艺术品、赛马游戏等等。购买 ETH 的人越多，需求侧增长就越快，以太坊的价值会越来越高。他也提醒读者，当然现在也可能在经历新的投机浪潮，但我认为目前需求侧已经起飞了。[2021/5/4 21:22:06]

白名单国家名单有：乌克兰、俄罗斯、白俄罗斯、塔吉克斯坦、乌兹别克斯坦、土库曼斯坦、阿塞拜疆、亚美尼亚、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦等。

隐藏图标

如果感染者不在白名单国家则恶意软件将进一步执行，其通过禁用入口组件来实现隐藏图标使其在手机桌面上不可见来规避感染者卸载恶意应用。

动态 | John McAfee宣布将于秋季推出名为“McAfee Freedom Coin”的加密货币:杀软件之父John McAfee发推称将在2019年秋季推出一款名为“McAfee Freedom Coin”的加密货币。在该推文附带的链接中，“McAfee Freedom Coin”被描述为旨在利用一个独特的范式和新的结构概念正面解决交易问题。“McAfee Freedom Coin”不基于任何商品，也不与任何外部项目或实体的价值或行为相关联。相对于任何其他货币，该代币的价值总是为零，但它的自然市场价值是完全自由增长的。[2019/5/30]

定时触发保活广播

恶意软件通过在清单文件中注册高频的系统广播事件以及定时让系统时钟发送自身广播事件实现了一个简单的保活机制使其能持续的活动在系统中。

动态 | FreeRang将成立加密货币银行:据bitcoinexchangeguide消息，由怀俄明州一家公司控股的新墨西哥州公司FreeRang将成立美国首家数字资产银行。据此前消息，本周，怀俄明州州长马克·戈登(Mark Gordon)签署了《特殊目的存款机构法案》，使怀俄明州可以合法成立加密货币银行。[2019/3/3]

计步机制触发与C2服务器通信

在保活广播接收器组件中，实现了一个简单的计步器来触发木马与C2服务器的通信。

更新攻击命令

计步数量达到阀值后，启动HBOxMrf木马服务拉取C2服务器的攻击命令，C&C服务器地址为：http://94.156.77.32/gate.php目前服务已经无法正常访问。

客户端与C2服务器交互流程如下：

1.首先拉取C2服务器下发的攻击命令。

行情 | PeckShield披露以太坊“Freether”高危漏洞 可致使geth节点全盘崩溃:在2018 ISC互联网安全大会上，区块链安全公司PeckShield漏洞研究总监罗元琮表示，即使是以太坊公链底层也面临较大的安全威胁。以太坊RLPX协议属于会话层，主要用于以太坊P2P网络中的节点间建立并维持通信。PeckShield安全人员发现：在RLPX协议上存在一个命名为“Freether”的致命漏洞。攻击者可以通过geth discovery协议实现缺陷，向受影响geth节点发起攻击，造成内存资源耗尽，进而导致受影响节点全盘崩溃。由于RLPX协议更为底层，相较此前披露的基于geth LES协议实现缺陷造成的“致命报文”漏洞，其影响面更广，危害程度更大。需注意，该漏洞可被利用做类似DDoS的攻击，虽然可通过限制资源总量的方式在一定程度上控制其影响面扩大，却很难从根本上予以遏制。[2018/9/6]

忽略电池优化

Cerberus木马除了定时触发保活广播，还通过将自己加入电池优化白名单中来增强持续在系统中执行恶意活动的可能。

窃听短信消息

保活广播接收器同时也在接收短信消息类型的系统广播，当收到此类型广播时则读取出短信内容和发信人并保存到配置文件中，为后续执行恶意活动窃取短信消息做准备。

激活设备管理员

Cerberus木马除了通过隐藏图标的方式防止感染者卸载自身外，还通过激活设备管理员权限来防止感染者卸载自身，同时也为了防止其他安全软件查杀卸载Cerberus木马。

启动后台服务

诱导启用无障碍服务

Cerberus木马的所有敏感操作都严重依赖于无障碍服务的启用，其通过循环拉起“启用无障碍服务界面”来诱导感染者对其进行无障碍服务授权。

请求窃听短信所需的权限

请求窃取短信消息和联系人所需的权限。

启动设备锁

根据lockDevice标记执行设备锁操作。

更新辅助服务状态到payload

无障碍服务

无障碍服务启用后通过监控界面元素，模拟点击界面授权按钮来完成权限的自我授权和设备管理员的激活操作。同时监控界面活动是否正在进行安全扫描、是否正在卸载恶意软件来避免木马被查杀和卸载。包括监控界面是否打开目标活动，将其通知给payload完成界面劫持攻击操作。

在无障碍服务中模拟点击激活按钮，完成激活设备管理员防止被用户卸载，也为后续锁定设备提供权限支撑。

监控界面是否在GooglePlay保护机制扫描界面，如果是则发送回退事件防止被查杀。

监控当前前台活动发送到payload执行相关攻击操作。

木马传播机制

Cerberus木马的作者曾在Twitter上表明，其传播采用钓鱼网站以FlashPlayer的形式进行传播来诱导用户下载安装恶意木马。建议用户在网站下载应用时应特别注意网站的真实性和安全性避免被钓鱼或劫持攻击。

总结

Cerberus恶意木马通过字符串混淆、执行流混淆、动态加载代码、动态解密字符串和实现了一个简单的计步器机制来对抗安全人员的分析工作。同时利用了Android无障碍服务的屏幕监控功能，通过监控手机屏幕内容的改变事件，模拟点击危险权限授权按钮进行自我授权、监控用户的安全扫描和卸载行为进行自我保护以及监控前台应用活动界面完成对目标的劫持攻击。

对于本次分析遗憾的是由于C2服务器的关闭导致无法获取到核心的payload代码和相关恶意指令，从而无法进行更加全面的分析木马的攻击机制。但payload想要完成攻击终究还是依赖于无障碍服务的启用，我相信Cerberus木马家族的新变种也会依赖于该功能，所以建议在日常使用Android设备时应谨慎启用设置中的无障碍服务开关。

Cerberus仍是目前较为活跃的Android平台新型木马，其作者通过租赁的方式进行盈利，同时在黑市和Twitter上宣传木马内容从而吸引恶意活动参与者购买此木马。

此类木马危害极大，普通用户在下载相关软件时请首先确认网站的真实性，确保软件来源的可靠性防止被钓鱼攻击下载到此类恶意软件。

参考文章

https://www.threatfabric.com/

标签：ERBBERCERCERBERUStogetherbnb完整攻略图文Berry DataSoccer VsCERBERUS币

PEPE热门资讯