伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室

概述

近期安全员监测到一款仿冒Tiktok的短信蠕虫,该短信蠕虫最明显的特点就是针对Android系统版本高于6.0以上的设备,由于Android版本的更新迭代,现在大部分设备已经更新到较高的版本,通过不完全统计,Android系统版本6.0以上的设备已经超过了80%,这也促使恶意程序要适配更高版本的设备,因此该仿冒Tiktok的短信蠕虫如果传播开,可以覆盖更大面积的设备。

1.样本运行流程

应用首次运行检测并申请大量敏感权限,如果未能授予权限,则重复申请,直至申请敏感权限成功,进而开启恶意服务器获取通讯录联系人,并遍历联系人发送指定短信内容,短信包容包含该类恶意程序,程序正常进入后,则是通过大量广告谋取利益。

图片[1]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图1 样本运行流程图

2.样本详细信息

2.1 盗版程序详细信息

程序名称

 

Tiktok Pro

 

程序包名

 

com.benstokes.pathakschook

 

程序MD5

 

B028D2A6FA96FB493991700F5B0410D3

 

签名信息

 

C=debugging

 

签名MD5

 

C13F92D0397DA7423A4142BFA9A5873E

 

图标

 

118_1596522534_662.png

 

2.2 正版程序详细信息

程序名称

 

TikTok

 

程序包名

 

com.ss.android.ugc.trill

 

程序MD5

 

78ACEACF4BB02D19174A2801F32257EC

 

签名信息

 

CN=Micro Cao, OU=ByteDance, O=ByteDance, L=Beijing, ST=Beijing, C=CN

 

签名MD5

 

AEA615AB910015038F73c47E45D21466

 

图标

 

846_1596522534_540.png

 

3.技术原理分析

程序启动后首先判断通讯录、短信、定位等敏感权限是否打开,未打开则一一动态申请,权限开启后,程序启动恶意服务,后台私自获取用户通讯录联系人,接着遍历所有联系人并发送指定的短信内容,短信内容即为提醒用户更新最新版Tiktok,并附有链接,实则下载该恶意程序,程序主要通过广告盈利,即通过该恶意蠕虫,一传十,十传百,从而让更多人的手机成为肉鸡,来浏览设定好的广告并谋取利益。

3.1 程序启动初始化

程序启动判断是否开启敏感权限,如果开启,则启动恶意服务,后台获取通讯录联系人,群发包含该恶意程序的短信。

图片[4]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科

图2 程序启动初始化

启动时申请的权限:

图片[5]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科

图片[6]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图片[7]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图3 程序初始化申请的权限

3.2 用户登录仿冒Tiktok

程序虽然设置了登录界面,但是用户输入的账户密码并未上传,这也说明了该程序的最终目的就是通过广告盈利。

图片[8]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图片[9]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图片[10]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图4 通过更真实的界面伪装自己

3.3 获取通讯录群发短信

恶意服务开启后,后台获取去通讯录联系人,遍历通讯录联系人发送指定短信,短信中包含该恶意程序链接。

获取通讯录联系人:

图片[11]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图5 获取通讯录联系人

筛选后将通讯录联系人保存在数组中备用:

图片[12]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科

遍历通讯录联系人发送指定短信内容:

图片[13]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图片[14]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图6 遍历联系人准备发送短信

解密要发送的短信内容:

图片[15]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科

图片[16]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图7 发送带有恶意程序链接的传播短信

解密后字符串:

Enjoy Tiktok Videos and also make CreativeVideos again. Now Tiktok is only Available in (Tiktok pro) SoDownload from below.

Link: http://t***.cc/Tiktok pro

图片[17]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图8 待发送短信截图

下载应用详细信息:

程序名称

 

Tiktok Pro

 

MD5

 

EDB563FDCAB0AB0580FDEEFAD6FFF9AD

 

包名

 

com.benstokes.pathakschook

 

所有者

 

C=debugging

 

证书MD5

 

C13F92D0397DA7423A4142BFA9A5873E

 

图标

 

710_1596522534_351.png

 

3.4 通过广告获利

程序包含applovin和google广告,程序主要目的就是通过群发短信,让更多的人安装盗版的Tiktok,进而通过内置的广告获利:

广告模块:

图片[19]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图9 程序嵌入的广告模块

AppLovin广告模块:

图片[20]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图片[21]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图片[22]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科图10 AppLovin广告模块

4.情报挖掘溯源

短信包含地址:http://t***.cc/Tiktokpro

短地址域名:t***.cc

域名对应IP:157.***.***.153  美国纽约州 纽约

图片[23]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科

真实下载地址:https://raw.gi******nt.com/newtiktokpro/login/master/Tiktok%20pro.apk。

下载地址域名:raw.gi******nt.com。

域名对应IP:151.***.**.133 美国。

图片[24]-伪装成抖音国际版Tiktok的短信蠕虫 – 作者:暗影安全实验室-安全小百科

5.IOCs

文件SHA1:

6FAA034AB2F1154825A50897A2ACE54FBE87B3C1

324005D7DC633F89EA6108FA072B6C83F3EAF4FC

CFE7DCE6c4039FE709091703D2C1EE8071564999

11CD5Cc4C5F37D80A9DD3BBF6B1CB532F6C58370D

BAB55B26C840F0FA233E36A6C966EFBF4BA64E74

A0D4F9D00FDB903DCAD27E0A07623571CF2FDF54

25E27DB61F2E0C035CB4E16FA0D75002E7F07E26

DE72D4A582D4872168E6F4AD4DD03EC6E544B243

F8996B8DA8c4FA4084757FF171FE886E50015B84

CE62651512A26324CB50CF731B2D5A0BFEFA9B8F

C2

t***.cc

raw.gi******nt.com

来源:freebuf.com 2020-08-04 15:37:26 by: 暗影安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论