Android操作系統(tǒng)上的Flubot惡意軟件分析

隨著Android操作系統(tǒng)的進步，智能手機的使用日益增加。隨后，有報道稱，惡意個人和黑客利用 Android 提供的漏洞來訪問用戶珍視的數據。例如，此類威脅包括 2021 年針對 Android 設備發(fā)布的 Flubot 惡意軟件攻擊。值得注意的是，該惡意軟件針對受害者在其小工具上使用的銀行應用程序進行網絡攻擊。因此，參考對Flubot惡意軟件特征和行為的理解，我們的研究重點是網絡威脅未來可能的攻擊方式。

最初，我們的研究包括對 Hatching Triage 平臺免費存儲庫中發(fā)現(xiàn)的三個不同 Flubot 惡意軟件樣本進行探索性分析。

為了實現(xiàn)這一目標，我們利用Android 虛擬設備(AVD) 作為測試基礎，使用 Android 調試橋 (ADB) 進行動態(tài)分析，并使用BurpSuite進行動態(tài)分析。對于靜態(tài)分析，借助移動安全框架(MobSF)和字節(jié)碼查看器對當前樣本進行分析，以檢查惡意軟件樣本的源代碼。

相信我們的結論可能不完整，我們進一步探索了 Flubot 病毒的操作，發(fā)現(xiàn)它會在受害者的設備上傳遞或放置 dex 文件。這些文件充當惡意軟件的框架，其他文件用于增強其功能。例如，F(xiàn)lubot 病毒將自身偽裝成在主機設備上傳遞消息或短信服務 (SMS) 的應用程序。我們還遇到了 Flubot 惡意軟件的另一種變體，它利用域生成算法 (DGA) 創(chuàng)建與 C&C 服務器通信的通道。

介紹

隨著跨境信息技術的進步和普及，這也帶來了網絡犯罪的相應增加[。例如，印度尼西亞曾經歷過一次未能實施這些改革的例子，目前正在應對其后果。根據最新調查結果，2021 年已報告 60 億起網絡安全事件，其中包含大量惡意軟件攻擊。惡意軟件是一個術語，是主要針對網絡犯罪的惡意軟件的縮寫，可在不同的操作系統(tǒng)中運行，包括 Android、iOS、Windows 和 macOS 。根據給定的參考文獻，截至 2021 年 12 月，基于移動設備的黑客攻擊的世界紀錄為 2, 228, 801 。尤其是Android，擁有100萬份拷貝，被公認為最成功的平臺之一。根據 Facebook 的 1. 2 60 億用戶統(tǒng)計，他們已被 Android 惡意軟件包攻擊了 1,451,660 次 。具體而言，F(xiàn)lubot 是 2021 年針對 Android 設備的最新威脅之一，主要源自新西蘭、澳大利亞、法國和德國 。另一個信息來源表明，F(xiàn)lubot 的主要動機是在受影響的設備偽裝成實際應用程序的過程中竊取信息 。另一個信息來源表明，F(xiàn)lubot 的主要動機是在受影響的設備偽裝成實際應用程序的過程中竊取信息 。另一個信息來源表明，F(xiàn)lubot 的主要動機是在受影響的設備偽裝成實際應用程序的過程中竊取信息 。

圖1：Flubot惡意軟件傳播方式

惡意軟件檢測方法

惡意軟件的檢測方法通常分為兩類：雖然軟件測試有很多方法，但最常見的兩種方法被稱為靜態(tài)和動態(tài)分析。

惡意軟件樣本的靜態(tài)分析是指在不實際允許代碼執(zhí)行的情況下研究其代碼和結構，而動態(tài)分析是指在受控上下文中運行實際樣本。本質上，靜態(tài)分析調用簽名檢測，從而將分析軟件的模式與其他臭名昭著的應用程序的數據庫進行比較。然而，這種方法有一個弱點，即“壞”代碼可能是非結構化的并且難以遵循或“混淆”。 M和P類惡意軟件的使用具有在執(zhí)行其功能的過程中更改其代碼的能力，無法通過上述靜態(tài)分析方法來檢測。

另一方面，動態(tài)分析通過對相關惡意軟件進行運行時分析來調查惡意軟件行為，例如病毒進行的 API 調用和系統(tǒng)更改以及注冊表更改。雖然動態(tài)分析帶來了一些好處，但根本的缺點是它需要創(chuàng)建有時間限制的測試環(huán)境。

混合分析方法

混合分析是另一種分析類型，它是靜態(tài)和動態(tài)分析的結合，并且比其他兩種分析更徹底。 Flubot 是最近在市場上發(fā)現(xiàn)的一款 Android 惡意軟件，專門針對同名操作系統(tǒng)。為了實現(xiàn)靜態(tài)分析，我們使用 MobSF — 逆向工程分析、APKtool、Dex2jar 和 JD-GUI 等工具來分析惡意軟件簽名和行為。至于動態(tài)分析，我們可以使用BurpSuite、Android Virtual Device、Android Debug Bridge和Frida等工具與病毒交互，以研究封閉環(huán)境中的行為模式。通過這種方式，我們希望定義 Flubot 惡意軟件的特征和行為模式，并研究其對 Android 設備的影響。

方法論

因此，我們主動詳細檢查了 Flubot 惡意軟件活動，以深入了解其在系統(tǒng)內的行為和影響。為此，我們參考“虛擬環(huán)境”的概念，利用相關軟件進行數據提取，這對于確定我們的關鍵發(fā)現(xiàn)至關重要。在這項定性前瞻性研究中，我們使用三個隨機選擇的樣本來檢查受 Flubot 惡意軟件影響的 APK 應用程序文件進行分析。

圖 2：惡意軟件分析工具

Flubot 是一種惡意軟件或惡意軟件，旨在秘密運行，并且很少有記錄表明其存在。然而，有一些跡象表明存在，例如不斷使用看似虛假的語音郵件應用程序、任何送貨服務(例如 FedEx 或 DHL)、自動連續(xù)向聯(lián)系人發(fā)送短信以及移動設備設置的其他扭曲。

1. 搭建測試環(huán)境

它們將在接下來的部分中討論，我們在其中描述了所需的工具并創(chuàng)建了用于研究的在線環(huán)境。這樣做是為了確保網絡中惡意程序的污染僅限于網絡系統(tǒng)內的單獨環(huán)境。

2. 混合分析方法

我將這種確定解決方案的方法稱為混合分析方法，因為我們同時使用靜態(tài)和動態(tài)分析來完成任務。圖2顯示了所采用方法的算法。

3. 所用工具分析

· 主機環(huán)境：本報告旨在呈現(xiàn)Windows 10操作系統(tǒng)的統(tǒng)計數據和關鍵特征的分析結果，其中要點包括：

· 虛擬環(huán)境： Android Virtual Device (AVD) 是一個 Android 模擬器，用戶有機會生活在 Android 世界中并體驗其特性和功能，而 Kali Linux 是一個基于 Debian 的 Linux 發(fā)行版，專為高級滲透測試和安全分析而設計。

· 靜態(tài)分析工具：MobSF - 雖然 JD-Gui 無法反匯編代碼屬性，但 Bytecode Viewer 是檢查類和代碼屬性的優(yōu)秀工具，并且同時使用這兩種工具可以提高效率。

· 動態(tài)分析工具：ADB和Frida、BurpSuite

4. 分析的執(zhí)行

· AVD 配置：Android 作為適合運行 Flubot 惡意軟件和創(chuàng)建 AVD 虛擬化引擎的映像而脫穎而出。對于此圖像，我們選擇了 Google Nexus 中的一個，使用 Android 操作系統(tǒng)版本 8.0 API 26。

· 靜態(tài)分析

o MobSF：它們通常用于從 APK 樣本中提取清單 XML 文件文檔，以便分析后者以獲取有關惡意軟件的意圖和權限的信息。

o 字節(jié)碼查看器：在 Kali Linux 上下載字節(jié)碼查看器，用于逆向工程并分析 dex 文件中的源代碼。

· 動態(tài)分析：

o 惡意應用程序的執(zhí)行：通過用惡意軟件樣本感染AVD并實時分析其行為，根據在AVD上安裝惡意軟件的實際樣本并跟蹤它們在實時模式下執(zhí)行的情況進行了進一步的實驗。

o 監(jiān)控工具：ADB和Frida用于監(jiān)控Flubot惡意軟件活動; BurpSuite 用于確定引擎是否識別系統(tǒng)調用并分析惡意軟件生成的所有網絡流量。圖 3 概述了我們的惡意軟件分析框架的組織結構。

為此，我們發(fā)現(xiàn)采用更全面的方法來了解 Flubot 惡意軟件的特征、行為以及對正在探索的系統(tǒng)的影響至關重要;在本例中為 Android 操作系統(tǒng)。

圖3：惡意軟件分析方法

配置和設置

出于攔截和分析的目的，我們在 BurpSuite 上設置了一個代理偵聽器，并包含了正確的 AVD 代理。在 AVD 上，使用與 BurpSuite 偵聽器中設置相同的代理主機名和端口號手動配置代理設置。然后，需要在 BurpSuite 主機和 AVD 模擬器上安裝 BurpSuite 網站上提供的 CA 證書，以創(chuàng)建安全連接。最初完成 BurpSuite 的設置后，就可以捕獲 AVD 流量了。

結果與討論

使用開源情報方法對從孵化分類平臺獲得的 Flubot 樣本進行靜態(tài)和動態(tài)分析的綜合研究。 MobSF 應用程序執(zhí)行的掃描結果如下：安全評分為 48/100，其風險評級估計為中等水平。檢查惡意軟件樣本的妥協(xié)指標 (IoC) 后，在基于 Android 的系統(tǒng)上發(fā)現(xiàn)了更多痕跡，例如軟件包名稱或 APK 哈希值。

需要進一步檢查的第二種權限源自 XML 形式的 Android Manifest，并確定了 15 種權限，其中包括訪問互聯(lián)網、短信、聯(lián)系人和電話的權限。一些關鍵權限包括QUERY_ALL_PACKAGES，它有助于清點設備上已安裝的應用程序，以及REQUEST_DELETE_PACKAGES，它允許卸載設備上安裝的應用程序。

表 1：從信息管理三個領域(即收集、處理和分發(fā))角度來看的妥協(xié)指標。

字符串分析揭示了惡意軟件結構中固有的功能信息。其中包括與 C&C 服務器的通信、隨機域的生成以及設備上的連接測試。與虛擬場景中的動態(tài)分析相關的靜態(tài)機制顯示了惡意軟件試圖安裝其有效負載并進一步克隆真實應用程序(例如消息應用程序)所付出的努力。

表 2：示例中的權限列表

對流量的分析發(fā)現(xiàn)了使用域生成算法 (DGA) 創(chuàng)建的與 C&C 域的不頻繁連接。據報道，從受感染設備獲取的數據包括短信信息和與加密貨幣使用相關的數據。

結論

對 Flubot 惡意軟件樣本的觀察發(fā)現(xiàn)了捕獲敏感數據的權限、與域的命令通信以及可能影響加密貨幣應用程序的可能有效負載。由于它能夠潛入計算機系統(tǒng)且不被檢測到，因此建議通過謹慎使用互聯(lián)網來避免該惡意軟件。小心不要點擊可疑鏈接或安裝任何源自可能受感染的網站或隨機電子郵件的應用程序，可以防止 Flubot 惡意軟件，因為它主要通過垃圾郵件或網絡釣魚傳播，而不是通過 Google Play 等應用市場傳播。