新型银行木马病毒MysteryBot Android分析

近日，国外某安全公司发现一种新型银行木马病毒MySteryBot Android，该病毒为银行木马LokiBot  Android的变种， 其恶意行为除了利用银行木马窃取金融信息外，还包括恶意监视键盘、植入勒索软件进行勒索操作。经分析发现该木马病毒已适配Android7.0和Android 8.0，一旦被恶意传播，Android7.0和Android 8.0的所有设备均有被感染的可能。鉴于此，通付盾移动安全实验室对MySteryBot Android病毒进行了深入分析，以下为详细分析内容。
一、样本信息
程序名称 ：MysteryBot
MD5: 9eeeaa4f33ed24b33cd40a21637734bc9b4caeb2
病毒名称：install.apps
应用图标：

恶意行为描述：该程序中包含恶意代码，通过伪装成android flash，诱导用户下载，从而提高装机量。安装后恶意获取设备管理员权限，用户无法正常卸载，在后台持续运行；私自将用户联系人、短信等隐私信息上传到远程服务端；监听用户键盘，执行勒索操作，具有私自发送短信、拨打电话等恶意扣费行为。
典型样本信息如下：
SHA256
程序名
包名
62a09c4994f11ffd61b7be99dd0ff1c64097c4ca5806c5eca73c57cb3a1bc36a
Adobe Flash Player
install.apps
334f1efd0b347d54a418d1724d51f8451b7d0bebbd05f648383d05c00726a7ae
Adobe Flash Player
install.apps
0963bc9fbb6747e9475c94bb0387b7f4e444ff557dcd0fc81822dce7fab4c3e9
Adobe Flash Player
dddddddd.ssssss.hhhhhh.ggggggggg
该木马病毒首先在AndroidManifest.xml文件中病毒申请了一系列与恶意行为密切相关的权限：

此外还注册了各种receiver用来监听系统消息：

深入分析完成开发的Boot、SmsBroadcast、Scrynlock，其中Boot主要用来在屏幕未唤醒的情况下继续运行，如果CommandService没有启动，则启动CommandService之后屏幕变亮；SmsBroadcast中，当有android.provider.Telephony.SMS_RECEIVED意图时候，最终按照{ “action”: “log”, “params”: {“imei”: “%s”,”type”:”sms”,”text”: “%s: %s”}}的格式将Android设备ID、短信来源、短信内容格式化， 并base64编码，最后组成http://89.42.211.24/site/gate.php?i=base64字符串 这样的格式，连接远程服务器，同时唤醒屏幕;Scrynlock实现了一个Admin的设备管理，同时会用webview加载这个 http://89.42.211.24/site/inj/test/?p=imei，并向/storage/sdcard0/sslocks.txt文件中写入+1，其次该病毒还对Home健监听和通过对手势进行判断执行触屏按键监听，该组件目前处于正在开发阶段，暂未工作。
其中SmsBroadcast的关键代码如下：

三、恶意行为分析
该木马的核心类是CommandService.class、install.apps.c.class、install.apps.Cripts$mainActivity、install.apps.g.class,通过对这四个核心类分析后，获得该木马的核心恶意行为。该木马的整体恶意流程如下图所示：

Step1 : 成为Admin的设备管理者和完成自我隐藏

Step2：后台运行的CommandService,上传数据和设置Boot.class用来监督CommandService是否成功运行，没有则再次启动。

设置定时器为5s，然后重复执行这些恶意代码

判断/mnt/sdcard/是否存在sslocks.txt

判断/mnt/sdcard/是否存在dblocks.txt

Step3：install.apps.Cripts$mainActivity，主要是勒索部分，暂时还没有明确的勒索付费方式。
将联系人和文件压缩在zip包中，并没有将其加密。