又一款利用CVE-2019-2215漏洞进行攻击的移动端新型木马SociaSpy

2021年3月,奇安信病毒响应中心移动安全团队在移动端高级威胁分析运营过程中,捕获到Android平台上一款新型间谍木马SociaSpy。该木马主要利用CVE-2019-2215漏洞提权后进行信息窃取。

一、概述

2021年3月,奇安信病毒响应中心移动安全团队在移动端高级威胁分析运营过程中,捕获到Android平台上一款新型间谍木马。基于该家族针对的窃取信息性质,我们将其命名为SociaSpy。SociaSpy木马主要利用CVE-2019-2215漏洞提权后进行信息窃取,这引起了我们的关注。目前未发现SociaSpy木马对国内有影响。

CVE-2019-2215漏洞是存在于Android Binder组件中的UAF漏洞,成功利用该漏洞可以造成本地权限提升。该漏洞已被发现到被国外数个APT组织在野攻击利用。

又一款利用CVE-2019-2215漏洞进行攻击的移动端新型木马SociaSpy

图1.1 CVE-2019-2215漏洞相关时间线

SociaSpy木马是一款新诞生不久的木马,最早出现在2021年2月。通过知名国外检测平台VirusTotal可以发现,目前国内外数十家杀软暂基本不识别该款木马。为了防止威胁的进一步扩散,奇安信病毒响应中心对其进行详细分析和披露,以提醒各安全厂商第一时间关注相关的攻击事件。

又一款利用CVE-2019-2215漏洞进行攻击的移动端新型木马SociaSpy

图1.2 知名国外检测平台VirusTotal上显示的多家杀软相关检测情况

二、样本分析

虽然我们暂没有更多的线索来锁定攻击者的身份,但根据这款木马拥有的技术和功能特性,我们认为这款木马和常见的木马不同,应该是居于特殊的目的而被新开发出来的。SociaSpy木马具有以下几个特点:

(1)采用内嵌插包方式集成,目前仅发现到被插包在游戏“Flappy Bird”中。

(2)除了具有窃取手机信息、短信、通话记录、联系人信息、位置等功能,还针对国外社交应用WhatsApp和Telegram进行窃取。但大多权限不需要申请,可避开目前多数安全检测。不需要申请权限的窃取技术貌似是首款在野实现,其原理是通过利用CVE-2019-2215漏洞提权后,拷贝并传输走相关信息数据库。如窃取短信,不需要申请读短信权限。

又一款利用CVE-2019-2215漏洞进行攻击的移动端新型木马SociaSpy

图2.1 SociaSpy申明的全部权限(并无申明读短信、读通讯录等权限)

又一款利用CVE-2019-2215漏洞进行攻击的移动端新型木马SociaSpy

图2.2 利用CVE-2019-2215漏洞提权窃取社交信息库代码片段

(3)钓鱼Google账号,并通过http传走。

又一款利用CVE-2019-2215漏洞进行攻击的移动端新型木马SociaSpy

图2.3 钓鱼Google账号界面(左)及对应的实现代码片段(右)

(4)目前该款间谍木马仅适配支持64位AArch64 架构的设备。

又一款利用CVE-2019-2215漏洞进行攻击的移动端新型木马SociaSpy

图2.4 仅符合AArch64 架构才触发窃取行为

三、总结

近两年,随着CVE-2019-2215漏洞的曝光,我们观察到CVE-2019-2215颇受攻击者青睐,越来越多的攻击者利用该漏洞进行攻击,即使该漏洞目前并不通用。针对普通用户如何避免遭受移动端上的攻击,奇安信威胁情报中心移动安全团队提供以下防护建议:

(1)及时更新系统,在正规的应用商店下载应用。国内的用户可以在手机自带的应用商店下载,国外用户可以在Google Play下载。不要安装不可信来源的应用、不要随便点击不明URL或者扫描安全性未知的二维码。

(2)移动设备及时在可信网络环境下进行安全更新,不要轻易使用不可信的网络环境。

(3)对请求应用安装权限、激活设备管理器等权限的应用要特别谨慎,一般来说普通应用不会请求这些权限,特别是设备管理器,正常的应用机会没有这个需求。

(4)确保安装有手机安全软件,进行实时保护个人财产安全;如安装奇安信移动安全产品。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对此类攻击的精确检测。

附录

A:IOC

APK MD5

2b49a7919332db4cd5a98c6b01521af1

97810a7fe0c7d31b79a7da4a84828444

C2

charsiewsiobak.cf

3.137.213.241

B:奇安信病毒响应中心移动安全团队

奇安信病毒响应中心移动安全团队一直致力移动安全领域及Android安全生态的研究。目前,奇安信的移动安全产品除了可以查杀常见的移动端病毒木马,也可以精准查杀时下流行的刷量、诈骗、博彩、违规、色情等黑产类软件。通过其内部分析系统可以有效支持对溯源分析等追踪。通过其高价值攻击发现流程已捕获到多起攻击事件,并发布了多篇移动黑产报告,对外披露了多个APT组织活动,其中两个是首发的新APT组织(诺崇狮组织和利刃鹰组织)。未来我们还会持续走在全球移动安全研究的前沿,第一时间追踪分析最新的移动安全事件、对国内移动相关的黑灰产攻击进行深入挖掘和跟踪,为维护移动端上的网络安全砥砺前行。

C:奇安信移动产品介绍

奇安信移动终端安全管理系统(天机)是面向公安、司法、政府、金融、运营商、能源、制造等行业客户,具有强终端管控和强终端安全特性的移动终端安全管理产品。产品基于奇安信在海量移动终端上的安全技术积淀与运营经验,从硬件、OS、应用、数据到链路等多层次的安全防护方案,确保企业数据和应用在移动终端的安全性。

奇安信移动态势感知系统是由奇安信态势感知事业部及其合作伙伴奇安信病毒响应中心移动团队合力推出的一个移动态势感知管理产品。不同于传统移动安全厂商着重于APP生产,发布环节,为客户提供APP加固、检测、分析等;移动态势感知面向具有监管责任的客户,更加着重于APP的下载,使用环节,摸清辖区范围内APP的使用情况,给客户提供APP违法检测、合规性分析、溯源等功能。

D:参考信息

  1. https://bugs.chromium.org/p/project-zero/issues/detail?id=1942

  2. https://blog.trendmicro.com/trendlabs-security-intelligence/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group/

  3. https://www.secrss.com/articles/24995

声明:本文来自奇安信病毒响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/375.html

发表评论

登录后才能评论