木马开启智能识别？深度解析新型变形恶意软件LokiBot！

阿里聚安全

作者：钱盾反诈实验室


0x1.木马介绍
近期，Client-SideDetection披露“LokiBot”木马，钱盾反诈实验室快速响应分析，发现“LokiBot”木马前身是由“BankBot”演变而来。与其他银行劫持木马相比“LokiBot”具备其独特功能，可以根据不同目标环境发起相应攻击，比如主动向用户设备发起界面劫持、加密用户设备数据，勒索欺诈用户钱财、建立socks5代{过}{滤}理和SSH隧道，进行企业内网数据渗透。“LokiBot”传播途径通过恶意网站推送虚假的“Adobe Flash Playe”、“APK Installer”、“System Update”、“Adblock”、“Security Certificate”等应用更新，诱导用户安装。运行截图如下：



0x2.样本分析


2.1恶意代码解析
LokiBot关键组件和代码块如下：

MainActivity：恶意代码执行入口。模拟器检查［1］、图标隐藏、引导激活设备管理、启动CommandService和InjectProcess。
Boot：Receiver组件，恶意代码执行入口。核心服务CommandService保活。
CommandService：核心服务，根据远程控制指令执行恶意代码。
InjectProcess：界面劫持服务。
Crypt模块：加密文件、锁定设备实施勒索。
Socks模块：实现Socks5协议和SSH隧道，使受控设备所在内网服务器和攻击者主机之间能进行流量转发。

2.2 远程控制
首先上传设备deviceId、锁屏状态、网络类型至控制端（**92500503912**:Loki:1:wifi）。控制端以用户deviceId作为肉鸡ID，并下发指令数据，触发恶意行为。指令包括：

指令	功能
Send_SMS	利用受害人身份给任意用户发送恶意短信
Send_USSD	拨打任意号码
Go_Contacts	上传设备联系人
Gethistori	上传浏览器历史记录
Start_AllApp	上传设备安装应用包名
Update Bots	更新LokiBot
Forward_call	设置呼叫转移
Go_Leading_request	WebView加载恶意网址
Go_Passwords	设置锁屏密码
DeleteApp	自身卸载，取消激活设备管理，触发勒索
Go_Smsmnd	设置默认短信应用
GetAllSms	获取用户短信记录
DellSms	删除最新一条短信
Send_spam	短信蠕虫，群发恶意内容给用户联系人
App_call	启动任意app
Shells	执行shell
Go_Crypt	锁定用户设备，并加密设备文件
Go_Scrynlock	锁定设备，使用户无法使用
startSocks	安装Socks5代{过}{滤}理
Start_Inject	启动InjectProcess，执行银行应用劫持

LokiBot会根据采集到的用户数据，发起相应的攻击。攻击手段主要包括以下三种方式：

• 用户设备安装有银行或社交类app会发起应用劫持攻击；
• 用户网络环境属于某企业，会进行内网渗透；
• 直接发送DeleteApp或Go_Crypt指令，实施勒索敲诈。
  

2.3 应用劫持
劫持过程与“BankBot”木马［2］相似，都是上传用户安装列表，在云端配置劫持界面，后台监视应用，一旦用户开启劫持列表内的应用，就弹出钓鱼界面覆盖真实应用，诱导用户输入账户和密码。由于此类木马生命周期短，“LokiBot”则采取主动发起应用劫持。方式包括：

• 通过远程指令启动待劫持应用；
• 主动弹出伪造的app Notification，一旦用户点击就弹出钓鱼界面
  

2.4内网渗透
若受控设备处于内网环境，“LokiBot”下发startSocks命令，建立Socks5代{过}{滤}理和SSH安全隧道[3]，攻击者这样以移动设备为跳板，入侵内网，窃取企业数据资产。
“LokiBot”木马内网渗透过程：

• 木马（SSH客户端）主动连接攻击者主机（SSH服务端），建立SSH连接，并设置端口转发方式为远程端口转发，这样完成SSH Client端至SSH Server端之间的安全数据通讯，并能突破防火墙的限制完成一些之前无法建立的TCP连接。
• 木马作为socks服务端创建一个socket，等待本机的SSH客户端（木马）连接，连接成功后就可以通过SSH安全隧道进行内网数据渗透。
  

建立SSH安全传输隧道
控制端下发的”startSocks”数据指令还包括：攻击者主机IP、木马作为socks服务器要监听的端口、木马连接攻击者主机（SSH服务器）的用户名、密码信息。木马创建一个异步任务，内部使用JSch包提供的接口实现攻击端主机连接，端口转发设置。


socks代{过}{滤}理
木马实现了一套socks5协议，在内网服务器和攻击者之间转发数据流量。这样木马设备（SSH客户端）会将访问的内网数据，通过SSH隧道安全传输到攻击者。


2.5锁屏勒索
LokiBot成功诱导用户激活设备管理后，隐藏在后台，执行恶意代码。若用户检测到恶意软件，尝试卸载、控制端下发DeleteApp或Go_Crypt指令，都会触发设备锁定，加密用户设备文件代码。下图取消设备管理权限，触发执行CriptActivity$mainActivity，实施锁屏勒索。



AES加密设备SD目录下所有文件，并将原文件删除。



通过向设备Window添加flag＝FLAG_WATCH_OUTSIDE_TOUCH｜FLAG_LAYOUT_IN_SCREEN｜FLAG_NOT_FOCUSABLE的View，使用户无法使用手机，恐吓用户设备文件被加密，必须通过比特币支付$70。BTC支付地址硬编码在资源文件里，根据交易地址可查询到，该账户2015年7月份发生第一笔交易，今年2月开始交易频繁，近期交易呈下降趋势，账户共发生1341笔交易，共计收入48.821BTC。


Sample sha256





C&C
http://updddatererb1.gdn/sfdsdfsdf/http://tyfgbjyf.xyz/sfdsdfsdf/
http://dghooghel.com/sfdsdfsdf/http://sdtyoty.gdn/sfdsdfsdf/
http://rthrew.gdn/sfdsdfsdf/http://spirit7a.pw/sfdsdfsdf/
http://cofonderot.top/sfdsdfsdf/
http://sdfsdfsf.today/sfdsdfsdf/
http://sdfsdfsf.gdn/sfdsdfsdf/
http://dgdfgdfg.top/sfdsdfsdf
http://profitino365.com/sfdsdfsdf
http://sdfsdgfsdfsdfsd.info/sfdsdfsdf/
http://showtopik.gdn/tosskd/
http://showtopik.xyz/kdlhoi
http://showtopics.biz/saddasd/
http://tescoy.com/asffar929/
http://pornohab24.com/dklska/
http://185.209.20.28/sdfsdfdsf/
http://185.206.145.22/sfdsdfsdf/
http://185.165.29.29/dover/
http://185.110.132.60/sfdsdfsdf/
http://217.172.172.10/adminlod/
http://217.23.6.14/adminlod/
http://94.75.237.86/sfdsdfsdf/
http://85.93.6.104/sfdsdfsdfhfghf/
http://77.72.84.48/gslrmgt/


0x3安全建议
“LokiBot”为例，黑客以移动设备作为跳板入侵企业内网以多次出现，因此企业应加强防范措施，严格限制不可信设备连接内网，加强员工网络安全意识。而对于普通用户，下载应用请到官方网站或安全应用市场，切勿点击任何色情链接，尤其是短信、QQ、微信等聊天工具中不熟识的“朋友”发来的链接，安装安全防护软件，定期进行病毒查杀。


参考
［1］   模拟器检测https://github.com/strazzere/anti-emulator
［2］   新型BankBot木马解析
https://jaq.alibaba.com/community/art/show?articleid=783
BankBot AvPass分析
https://jaq.alibaba.com/community/art/show?spm=a313e.7916648.0.0.3775bb8euvWFHg&articleid=1028
［3］   实战SSH端口转发https://www.ibm.com/developerworks/cn/linux/l-cn-sshforward/

本文由阿里聚安全整理发布，转载请注明出处，原文链接：http://jaq.alibaba.com/community/art/show?&articleid=1195

筱沫

虽然看不懂，但是感觉好NB的样子

zzfmsn

虽然看不懂，还是要感谢下

akinet

木马也这么先进了！

gengroot

虽然现在看不懂但是感觉很牛逼的样子  

huangxu

木马居然这么厉害，注意了

wei00514

虽然看不懂，还是要感谢下

小冬

谢谢分享

sk34943363

谢谢分享兄弟呀

vanapple1

我咋感觉你发错区了呢。