Welcome Chat间谍软件分析报告 – 作者:暗影安全实验室

welcome表面上是一款面向Arab地区的聊天软件，实则是一款具有强大聊天功能的间谍软件。该应用程序具有获取并上传用户通讯录、通话记录、短信、文件、位置等隐私信息的功能，并通过监听用户电话状态对用户通话记录进行录音、监听用户短信数据库，过滤并上传用户收发的短信息。

welcom间谍软件主要通过网站进行传播，目前并没有发现其上架于应用商店。应用程序分发网站地址：http://ephon****vicesc.lub/。

图1-1 官网首页

页面上显示Google Play按钮，但Google Play并未上架，只是个下载按钮。

图1-2 下载按钮

1. 样本运行流程

应用首次运行请求窃取用户隐私数据所需的敏感权限，若用户拒绝授予权限，则应用会退出。接着应用每隔5分钟连接一次服务器，从服务器获取远控指令执行窃取用户设备隐私数据的操作。

图2-1 运行流程图

2. 技术原理

welcome启动时必须授予清单中声明的全部权限，权限不足则退出应用，这些权限对于一个聊天App来说可能不会引起用户怀疑。但需提醒用户当一个应用请求大量敏感权限时，应提高警惕行。

图3-1 启动页面

作为一款“社交软件”，程序启动之后申请短信、通讯录、录音等大量敏感权限，如果用户拒绝，则程序自动退出，如图3-2、3-3所示。

图3-2 权限申请弹窗

图3-4 权限不足退出应用

图3-5 隐私相关权限清单

获得授权后上传设备信息并开启服务。

图3-6 上传设备信息

图3-7 启动各项服务

2.1隐私窃取

获取用户联系人、短信、通话记录等信息并每隔1分钟上传到服务器。

图3-8 获取隐私信息

获取用户设备通讯录信息：

图3-9 读取通讯录

获取用户设备短信息：

图3-10 读取短信

获取用户设备通话记录：

图3-11 读取通话记录

通过GPS手段获取用户位置信息：

图3-12 获取位置

监听用户设备来电状态、开始及结束状态并启动录音。

图3-13 监听电话状态

图3-14 记录号码并操作录音

图3-15 获取号码所属联系人名称

获取并上传用户设备文件信息：

图3-16 上传信息文件

2.2远程控制

恶意程序每5分钟请求一次主控地址与服务器交互。

图3-17 开启定时任务

接收并处理服务器发送的命令。

图3-18 接收远程命令

远程控制命令列表：

命令	作用
S1	总开关
S2	暂无
S3	暂无
S4	短信雷达
S5	获取并上传文件
S6	录音
S7	通话监听开关
S8	暂无

S6：指定开始时间和时长启动录音。

图3-19 开启录音

S4：注册监听短信数据库变化，当用户收发短信时触发监听器：

图3-20 监听短信并保存

图3-21 注册短信内容观察者

图3-22 处理短信变化

S5：从C&C处请求要窃取的文件类型，获取此类型的文件并上传。

图3-23 获取的文件类型

获取/mnt目录下的全部文件信息及外部存储器/Camera目录下的全部照片信息保存在数据库中

图3-24 遍历指定目录

图3-25 遍历文件并存储文件信息

将窃取的信息保存在应用文件目录下的本地数据库中。

图3-26 数据库中存储的文件信息

2.3信息上传

开启上传用户信息的定时任务。线程启动时延迟5分钟，此后每6分钟执行一次。

图3-28 开启上传定时任务

检测若未在监听状态，上传获取的全部信息文件。

图3-29 上传文件

2.4 C&C交互

为了防止C&C址的泄露，C&C地址以AES加密保存：

图3-31 加密算法

解密后的服务器地址：

图3-32 解密的地址

图3-33 发生的上传请求

上传地址及作用汇总表：

接口	作用
http://api.emob****rvices.club/v1/services	控制录音启动后终止录音指令
http://api.emob****vices.club/v1/types	获取需上传的文件类型
http://api.emob****rvices.club/v1/record	获取录音启动时间和时长
http://api.emob****rvices.club/v1/data	获取远程指令
http://api.emob****rvices.club/v1/file	上传文件

3. 样本信息

Hash：

C60D7134B05B34AF08023155EAB3B38CEDE4BCCD

C755D37D6692C650692f4C637AE83EF6BB9577FC

89AB73D4AAF41CBCDBD0C8C7D6D85D21D93ED199

2905F2F60D57FBF13D25828EF635CA1CCE81E757