Android操作系統(tǒng)上的Flubot惡意軟件分析

隨著Android操作系統(tǒng)的進(jìn)步，智能手機(jī)的使用日益增加。隨后，有報(bào)道稱，惡意個(gè)人和黑客利用 Android 提供的漏洞來訪問用戶珍視的數(shù)據(jù)。例如，此類威脅包括 2021 年針對 Android 設(shè)備發(fā)布的 Flubot 惡意軟件攻擊。值得注意的是，該惡意軟件針對受害者在其小工具上使用的銀行應(yīng)用程序進(jìn)行網(wǎng)絡(luò)攻擊。因此，參考對Flubot惡意軟件特征和行為的理解，我們的研究重點(diǎn)是網(wǎng)絡(luò)威脅未來可能的攻擊方式。

最初，我們的研究包括對 Hatching Triage 平臺(tái)免費(fèi)存儲(chǔ)庫中發(fā)現(xiàn)的三個(gè)不同 Flubot 惡意軟件樣本進(jìn)行探索性分析。

為了實(shí)現(xiàn)這一目標(biāo)，我們利用Android 虛擬設(shè)備(AVD) 作為測試基礎(chǔ)，使用 Android 調(diào)試橋 (ADB) 進(jìn)行動(dòng)態(tài)分析，并使用BurpSuite進(jìn)行動(dòng)態(tài)分析。對于靜態(tài)分析，借助移動(dòng)安全框架(MobSF)和字節(jié)碼查看器對當(dāng)前樣本進(jìn)行分析，以檢查惡意軟件樣本的源代碼。

相信我們的結(jié)論可能不完整，我們進(jìn)一步探索了 Flubot 病毒的操作，發(fā)現(xiàn)它會(huì)在受害者的設(shè)備上傳遞或放置 dex 文件。這些文件充當(dāng)惡意軟件的框架，其他文件用于增強(qiáng)其功能。例如，F(xiàn)lubot 病毒將自身偽裝成在主機(jī)設(shè)備上傳遞消息或短信服務(wù) (SMS) 的應(yīng)用程序。我們還遇到了 Flubot 惡意軟件的另一種變體，它利用域生成算法 (DGA) 創(chuàng)建與 C&C 服務(wù)器通信的通道。

介紹

隨著跨境信息技術(shù)的進(jìn)步和普及，這也帶來了網(wǎng)絡(luò)犯罪的相應(yīng)增加[。例如，印度尼西亞曾經(jīng)歷過一次未能實(shí)施這些改革的例子，目前正在應(yīng)對其后果。根據(jù)最新調(diào)查結(jié)果，2021 年已報(bào)告 60 億起網(wǎng)絡(luò)安全事件，其中包含大量惡意軟件攻擊。惡意軟件是一個(gè)術(shù)語，是主要針對網(wǎng)絡(luò)犯罪的惡意軟件的縮寫，可在不同的操作系統(tǒng)中運(yùn)行，包括 Android、iOS、Windows 和 macOS 。根據(jù)給定的參考文獻(xiàn)，截至 2021 年 12 月，基于移動(dòng)設(shè)備的黑客攻擊的世界紀(jì)錄為 2, 228, 801 。尤其是Android，擁有100萬份拷貝，被公認(rèn)為最成功的平臺(tái)之一。根據(jù) Facebook 的 1. 2 60 億用戶統(tǒng)計(jì)，他們已被 Android 惡意軟件包攻擊了 1,451,660 次 。具體而言，F(xiàn)lubot 是 2021 年針對 Android 設(shè)備的最新威脅之一，主要源自新西蘭、澳大利亞、法國和德國 。另一個(gè)信息來源表明，F(xiàn)lubot 的主要?jiǎng)訖C(jī)是在受影響的設(shè)備偽裝成實(shí)際應(yīng)用程序的過程中竊取信息 。另一個(gè)信息來源表明，F(xiàn)lubot 的主要?jiǎng)訖C(jī)是在受影響的設(shè)備偽裝成實(shí)際應(yīng)用程序的過程中竊取信息 。另一個(gè)信息來源表明，F(xiàn)lubot 的主要?jiǎng)訖C(jī)是在受影響的設(shè)備偽裝成實(shí)際應(yīng)用程序的過程中竊取信息 。

圖1：Flubot惡意軟件傳播方式

惡意軟件檢測方法

惡意軟件的檢測方法通常分為兩類：雖然軟件測試有很多方法，但最常見的兩種方法被稱為靜態(tài)和動(dòng)態(tài)分析。

惡意軟件樣本的靜態(tài)分析是指在不實(shí)際允許代碼執(zhí)行的情況下研究其代碼和結(jié)構(gòu)，而動(dòng)態(tài)分析是指在受控上下文中運(yùn)行實(shí)際樣本。本質(zhì)上，靜態(tài)分析調(diào)用簽名檢測，從而將分析軟件的模式與其他臭名昭著的應(yīng)用程序的數(shù)據(jù)庫進(jìn)行比較。然而，這種方法有一個(gè)弱點(diǎn)，即“壞”代碼可能是非結(jié)構(gòu)化的并且難以遵循或“混淆”。 M和P類惡意軟件的使用具有在執(zhí)行其功能的過程中更改其代碼的能力，無法通過上述靜態(tài)分析方法來檢測。

另一方面，動(dòng)態(tài)分析通過對相關(guān)惡意軟件進(jìn)行運(yùn)行時(shí)分析來調(diào)查惡意軟件行為，例如病毒進(jìn)行的 API 調(diào)用和系統(tǒng)更改以及注冊表更改。雖然動(dòng)態(tài)分析帶來了一些好處，但根本的缺點(diǎn)是它需要?jiǎng)?chuàng)建有時(shí)間限制的測試環(huán)境。

混合分析方法

混合分析是另一種分析類型，它是靜態(tài)和動(dòng)態(tài)分析的結(jié)合，并且比其他兩種分析更徹底。 Flubot 是最近在市場上發(fā)現(xiàn)的一款 Android 惡意軟件，專門針對同名操作系統(tǒng)。為了實(shí)現(xiàn)靜態(tài)分析，我們使用 MobSF — 逆向工程分析、APKtool、Dex2jar 和 JD-GUI 等工具來分析惡意軟件簽名和行為。至于動(dòng)態(tài)分析，我們可以使用BurpSuite、Android Virtual Device、Android Debug Bridge和Frida等工具與病毒交互，以研究封閉環(huán)境中的行為模式。通過這種方式，我們希望定義 Flubot 惡意軟件的特征和行為模式，并研究其對 Android 設(shè)備的影響。

方法論

因此，我們主動(dòng)詳細(xì)檢查了 Flubot 惡意軟件活動(dòng)，以深入了解其在系統(tǒng)內(nèi)的行為和影響。為此，我們參考“虛擬環(huán)境”的概念，利用相關(guān)軟件進(jìn)行數(shù)據(jù)提取，這對于確定我們的關(guān)鍵發(fā)現(xiàn)至關(guān)重要。在這項(xiàng)定性前瞻性研究中，我們使用三個(gè)隨機(jī)選擇的樣本來檢查受 Flubot 惡意軟件影響的 APK 應(yīng)用程序文件進(jìn)行分析。

圖 2：惡意軟件分析工具

Flubot 是一種惡意軟件或惡意軟件，旨在秘密運(yùn)行，并且很少有記錄表明其存在。然而，有一些跡象表明存在，例如不斷使用看似虛假的語音郵件應(yīng)用程序、任何送貨服務(wù)(例如 FedEx 或 DHL)、自動(dòng)連續(xù)向聯(lián)系人發(fā)送短信以及移動(dòng)設(shè)備設(shè)置的其他扭曲。

1. 搭建測試環(huán)境

它們將在接下來的部分中討論，我們在其中描述了所需的工具并創(chuàng)建了用于研究的在線環(huán)境。這樣做是為了確保網(wǎng)絡(luò)中惡意程序的污染僅限于網(wǎng)絡(luò)系統(tǒng)內(nèi)的單獨(dú)環(huán)境。

2. 混合分析方法

我將這種確定解決方案的方法稱為混合分析方法，因?yàn)槲覀兺瑫r(shí)使用靜態(tài)和動(dòng)態(tài)分析來完成任務(wù)。圖2顯示了所采用方法的算法。

3. 所用工具分析

· 主機(jī)環(huán)境：本報(bào)告旨在呈現(xiàn)Windows 10操作系統(tǒng)的統(tǒng)計(jì)數(shù)據(jù)和關(guān)鍵特征的分析結(jié)果，其中要點(diǎn)包括：

· 虛擬環(huán)境： Android Virtual Device (AVD) 是一個(gè) Android 模擬器，用戶有機(jī)會(huì)生活在 Android 世界中并體驗(yàn)其特性和功能，而 Kali Linux 是一個(gè)基于 Debian 的 Linux 發(fā)行版，專為高級滲透測試和安全分析而設(shè)計(jì)。

· 靜態(tài)分析工具：MobSF - 雖然 JD-Gui 無法反匯編代碼屬性，但 Bytecode Viewer 是檢查類和代碼屬性的優(yōu)秀工具，并且同時(shí)使用這兩種工具可以提高效率。

· 動(dòng)態(tài)分析工具：ADB和Frida、BurpSuite

4. 分析的執(zhí)行

· AVD 配置：Android 作為適合運(yùn)行 Flubot 惡意軟件和創(chuàng)建 AVD 虛擬化引擎的映像而脫穎而出。對于此圖像，我們選擇了 Google Nexus 中的一個(gè)，使用 Android 操作系統(tǒng)版本 8.0 API 26。

· 靜態(tài)分析

o MobSF：它們通常用于從 APK 樣本中提取清單 XML 文件文檔，以便分析后者以獲取有關(guān)惡意軟件的意圖和權(quán)限的信息。

o 字節(jié)碼查看器：在 Kali Linux 上下載字節(jié)碼查看器，用于逆向工程并分析 dex 文件中的源代碼。

· 動(dòng)態(tài)分析：

o 惡意應(yīng)用程序的執(zhí)行：通過用惡意軟件樣本感染AVD并實(shí)時(shí)分析其行為，根據(jù)在AVD上安裝惡意軟件的實(shí)際樣本并跟蹤它們在實(shí)時(shí)模式下執(zhí)行的情況進(jìn)行了進(jìn)一步的實(shí)驗(yàn)。

o 監(jiān)控工具：ADB和Frida用于監(jiān)控Flubot惡意軟件活動(dòng); BurpSuite 用于確定引擎是否識(shí)別系統(tǒng)調(diào)用并分析惡意軟件生成的所有網(wǎng)絡(luò)流量。圖 3 概述了我們的惡意軟件分析框架的組織結(jié)構(gòu)。

為此，我們發(fā)現(xiàn)采用更全面的方法來了解 Flubot 惡意軟件的特征、行為以及對正在探索的系統(tǒng)的影響至關(guān)重要;在本例中為 Android 操作系統(tǒng)。

圖3：惡意軟件分析方法

配置和設(shè)置

出于攔截和分析的目的，我們在 BurpSuite 上設(shè)置了一個(gè)代理偵聽器，并包含了正確的 AVD 代理。在 AVD 上，使用與 BurpSuite 偵聽器中設(shè)置相同的代理主機(jī)名和端口號手動(dòng)配置代理設(shè)置。然后，需要在 BurpSuite 主機(jī)和 AVD 模擬器上安裝 BurpSuite 網(wǎng)站上提供的 CA 證書，以創(chuàng)建安全連接。最初完成 BurpSuite 的設(shè)置后，就可以捕獲 AVD 流量了。

結(jié)果與討論

使用開源情報(bào)方法對從孵化分類平臺(tái)獲得的 Flubot 樣本進(jìn)行靜態(tài)和動(dòng)態(tài)分析的綜合研究。 MobSF 應(yīng)用程序執(zhí)行的掃描結(jié)果如下：安全評分為 48/100，其風(fēng)險(xiǎn)評級估計(jì)為中等水平。檢查惡意軟件樣本的妥協(xié)指標(biāo) (IoC) 后，在基于 Android 的系統(tǒng)上發(fā)現(xiàn)了更多痕跡，例如軟件包名稱或 APK 哈希值。

需要進(jìn)一步檢查的第二種權(quán)限源自 XML 形式的 Android Manifest，并確定了 15 種權(quán)限，其中包括訪問互聯(lián)網(wǎng)、短信、聯(lián)系人和電話的權(quán)限。一些關(guān)鍵權(quán)限包括QUERY_ALL_PACKAGES，它有助于清點(diǎn)設(shè)備上已安裝的應(yīng)用程序，以及REQUEST_DELETE_PACKAGES，它允許卸載設(shè)備上安裝的應(yīng)用程序。

表 1：從信息管理三個(gè)領(lǐng)域(即收集、處理和分發(fā))角度來看的妥協(xié)指標(biāo)。

字符串分析揭示了惡意軟件結(jié)構(gòu)中固有的功能信息。其中包括與 C&C 服務(wù)器的通信、隨機(jī)域的生成以及設(shè)備上的連接測試。與虛擬場景中的動(dòng)態(tài)分析相關(guān)的靜態(tài)機(jī)制顯示了惡意軟件試圖安裝其有效負(fù)載并進(jìn)一步克隆真實(shí)應(yīng)用程序(例如消息應(yīng)用程序)所付出的努力。

表 2：示例中的權(quán)限列表

對流量的分析發(fā)現(xiàn)了使用域生成算法 (DGA) 創(chuàng)建的與 C&C 域的不頻繁連接。據(jù)報(bào)道，從受感染設(shè)備獲取的數(shù)據(jù)包括短信信息和與加密貨幣使用相關(guān)的數(shù)據(jù)。

結(jié)論

對 Flubot 惡意軟件樣本的觀察發(fā)現(xiàn)了捕獲敏感數(shù)據(jù)的權(quán)限、與域的命令通信以及可能影響加密貨幣應(yīng)用程序的可能有效負(fù)載。由于它能夠潛入計(jì)算機(jī)系統(tǒng)且不被檢測到，因此建議通過謹(jǐn)慎使用互聯(lián)網(wǎng)來避免該惡意軟件。小心不要點(diǎn)擊可疑鏈接或安裝任何源自可能受感染的網(wǎng)站或隨機(jī)電子郵件的應(yīng)用程序，可以防止 Flubot 惡意軟件，因?yàn)樗饕ㄟ^垃圾郵件或網(wǎng)絡(luò)釣魚傳播，而不是通過 Google Play 等應(yīng)用市場傳播。