近日，國外某安全公司發(fā)現(xiàn)一種新型銀行木馬病毒MySteryBot Android，該病毒為銀行木馬LokiBot  Android的變種， 其惡意行為除了利用銀行木馬竊取金融信息外，還包括惡意監(jiān)視鍵盤、植入勒索軟件進(jìn)行勒索操作。經(jīng)分析發(fā)現(xiàn)該木馬病毒已適配Android7.0和Android 8.0，一旦被惡意傳播，Android7.0和Android 8.0的所有設(shè)備均有被感染的可能。鑒于此，通付盾移動(dòng)安全實(shí)驗(yàn)室對(duì)MySteryBot Android病毒進(jìn)行了深入分析，以下為詳細(xì)分析內(nèi)容。 
一、樣本信息
程序名稱 ：MysteryBot
MD5: 9eeeaa4f33ed24b33cd40a21637734bc9b4caeb2
病毒名稱：install.apps
應(yīng)用圖標(biāo)：

惡意行為描述：該程序中包含惡意代碼，通過偽裝成android flash，誘導(dǎo)用戶下載，從而提高裝機(jī)量。安裝后惡意獲取設(shè)備管理員權(quán)限，用戶無法正常卸載，在后臺(tái)持續(xù)運(yùn)行；私自將用戶聯(lián)系人、短信等隱私信息上傳到遠(yuǎn)程服務(wù)端；監(jiān)聽用戶鍵盤，執(zhí)行勒索操作，具有私自發(fā)送短信、撥打電話等惡意扣費(fèi)行為。
典型樣本信息如下：
SHA256 
程序名 
包名 
62a09c4994f11ffd61b7be99dd0ff1c64097c4ca5806c5eca73c57cb3a1bc36a
Adobe Flash Player
install.apps 
334f1efd0b347d54a418d1724d51f8451b7d0bebbd05f648383d05c00726a7ae
Adobe Flash Player
install.apps 
0963bc9fbb6747e9475c94bb0387b7f4e444ff557dcd0fc81822dce7fab4c3e9
Adobe Flash Player
dddddddd.ssssss.hhhhhh.ggggggggg
該木馬病毒首先在AndroidManifest.xml文件中病毒申請(qǐng)了一系列與惡意行為密切相關(guān)的權(quán)限：

此外還注冊(cè)了各種receiver用來監(jiān)聽系統(tǒng)消息：

深入分析完成開發(fā)的Boot、SmsBroadcast、Scrynlock，其中Boot主要用來在屏幕未喚醒的情況下繼續(xù)運(yùn)行，如果CommandService沒有啟動(dòng)，則啟動(dòng)CommandService之后屏幕變亮；SmsBroadcast中，當(dāng)有android.provider.Telephony.SMS_RECEIVED意圖時(shí)候，最終按照{(diào) “action”: “log”, “params”: {“imei”: “%s”,”type”:”sms”,”text”: “%s: %s”}}的格式將Android設(shè)備ID、短信來源、短信內(nèi)容格式化， 并base64編碼，最后組成http://89.42.211.24/site/gate.php?i=base64字符串 這樣的格式，連接遠(yuǎn)程服務(wù)器，同時(shí)喚醒屏幕;Scrynlock實(shí)現(xiàn)了一個(gè)Admin的設(shè)備管理，同時(shí)會(huì)用webview加載這個(gè) http://89.42.211.24/site/inj/test/?p=imei，并向/storage/sdcard0/sslocks.txt文件中寫入+1，其次該病毒還對(duì)Home健監(jiān)聽和通過對(duì)手勢(shì)進(jìn)行判斷執(zhí)行觸屏按鍵監(jiān)聽，該組件目前處于正在開發(fā)階段，暫未工作。
其中SmsBroadcast的關(guān)鍵代碼如下：

三、惡意行為分析
該木馬的核心類是CommandService.class、install.apps.c.class、install.apps.Cripts$mainActivity、install.apps.g.class,通過對(duì)這四個(gè)核心類分析后，獲得該木馬的核心惡意行為。該木馬的整體惡意流程如下圖所示：

Step1 : 成為Admin的設(shè)備管理者和完成自我隱藏

Step2：后臺(tái)運(yùn)行的CommandService,上傳數(shù)據(jù)和設(shè)置Boot.class用來監(jiān)督CommandService是否成功運(yùn)行，沒有則再次啟動(dòng)。

設(shè)置定時(shí)器為5s，然后重復(fù)執(zhí)行這些惡意代碼

判斷/mnt/sdcard/是否存在sslocks.txt

判斷/mnt/sdcard/是否存在dblocks.txt

Step3：install.apps.Cripts$mainActivity，主要是勒索部分，暫時(shí)還沒有明確的勒索付費(fèi)方式。
將聯(lián)系人和文件壓縮在zip包中，并沒有將其加密。
其次是上傳隱私信息到服務(wù)器

勒索的HTML頁面信息

按鍵手勢(shì)和Home鍵監(jiān)聽廣播

Step4：install.app.g主要用來上傳用戶隱私信息與遠(yuǎn)控端通信

與遠(yuǎn)控端通信，遠(yuǎn)控端發(fā)出action指令后，該木馬進(jìn)行執(zhí)行，主要是上傳用戶聯(lián)系人、發(fā)短信、打電話、上傳鍵盤日志等隱私信息。

四、 影響范圍
通信的IP地址可以看出來，該木馬面向的銀行主要是中東和歐洲銀行。目前國內(nèi)相關(guān)機(jī)構(gòu)，暫未發(fā)現(xiàn)該木馬的行蹤，我們會(huì)持續(xù)追蹤其動(dòng)態(tài)。木馬運(yùn)行如下：

分析總結(jié)
該木馬建立起了一套完整的遠(yuǎn)程控制體系，涵蓋了各種遠(yuǎn)程控制惡意行為，包括對(duì)各種設(shè)備硬件信息采集、短信監(jiān)控，以及鍵盤監(jiān)聽等等，極大程度上侵犯了用戶的個(gè)人隱私信息安全，具有非常強(qiáng)的危害性。
通付盾移動(dòng)安全實(shí)驗(yàn)室已實(shí)現(xiàn)對(duì)該類病毒的檢測(cè)查殺，同時(shí)相關(guān)移動(dòng)應(yīng)用檢測(cè)類產(chǎn)品也已具備對(duì)該類惡意應(yīng)用的檢出能力。
通付盾移動(dòng)安全實(shí)驗(yàn)室目前已實(shí)現(xiàn)對(duì)該類病毒的檢測(cè)查殺，同時(shí)相關(guān)移動(dòng)應(yīng)用檢測(cè)類產(chǎn)品也已具備對(duì)該類惡意應(yīng)用的檢出能力。