Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:13722 篇
已收录公众号数量:89 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
伪装成抖音国际版Tiktok的短信蠕虫
本文来自公众号:安全客   2020.08.05 18:00:20


概述:
近期安全员监测到一款仿冒Tiktok的短信蠕虫,该短信蠕虫最明显的特点就是针对Android系统版本高于6.0以上的设备,由于Android版本的更新迭代,现在大部分设备已经更新到较高的版本,通过不完全统计,Android系统版本6.0以上的设备已经超过了80%,这也促使恶意程序要适配更高版本的设备,因此该仿冒Tiktok的短信蠕虫如果传播开,可以覆盖更大面积的设备。

1.样本运行流程

应用首次运行检测并申请大量敏感权限,如果未能授予权限,则重复申请,直至申请敏感权限成功,进而开启恶意服务器获取通讯录联系人,并遍历联系人发送指定短信内容,短信包容包含该类恶意程序,程序正常进入后,则是通过大量广告谋取利益。
图1 样本运行流程图

2.样本详细信息

2.1 盗版程序详细信息:

程序名称

Tiktok Pro

程序包名

com.benstokes.pathakschook

程序MD5

B028D2A6FA96FB493991700F5B0410D3

签名信息

C=debugging

签名MD5

C13F92D0397DA7423A4142BFA9A5873E

图标


2.2 正版程序详细信息:

程序名称

TikTok

程序包名

com.ss.android.ugc.trill

程序MD5

78ACEACF4BB02D19174A2801F32257EC

签名信息

CN=Micro Cao, OU=ByteDance, O=ByteDance, L=Beijing, ST=Beijing, C=CN

签名MD5

AEA615AB910015038F73C47E45D21466

图标


3.技术原理分析

程序启动后首先判断通讯录、短信、定位等敏感权限是否打开,未打开则一一动态申请,权限开启后,程序启动恶意服务,后台私自获取用户通讯录联系人,接着遍历所有联系人并发送指定的短信内容,短信内容即为提醒用户更新最新版Tiktok,并附有链接,实则下载该恶意程序,程序主要通过广告盈利,即通过该恶意蠕虫,一传十,十传百,从而让更多人的手机成为肉鸡,来浏览设定好的广告并谋取利益。

3.1 程序启动初始化

程序启动判断是否开启敏感权限,如果开启,则启动恶意服务,后台获取通讯录联系人,群发包含该恶意程序的短信。
图2 程序启动初始化
启动时申请的权限:
图3 程序初始化申请的权限

3.2 用户登录仿冒Tiktok

程序虽然设置了登录界面,但是用户输入的账户密码并未上传,这也说明了该程序的最终目的就是通过广告盈利。
图4 通过更真实的界面伪装自己

3.3 获取通讯录群发短信

恶意服务开启后,后台获取去通讯录联系人,遍历通讯录联系人发送指定短信,短信中包含该恶意程序链接。
获取通讯录联系人:
图5 获取通讯录联系人
筛选后将通讯录联系人保存在数组中备用:
遍历通讯录联系人发送指定短信内容:
图6 遍历联系人准备发送短信
解密要发送的短信内容:
图7 发送带有恶意程序链接的传播短信
解密后字符串:
Enjoy Tiktok Videos and also make CreativeVideos again. Now Tiktok is only Available in (Tiktok pro) SoDownload from below.
Link: http://t***.cc/Tiktok pro

图8 待发送短信截图
下载应用详细信息:
程序名称

Tiktok Pro

MD5

EDB563FDCAB0AB0580FDEEFAD6FFF9AD

包名

com.benstokes.pathakschook

所有者

C=debugging

证书MD5

C13F92D0397DA7423A4142BFA9A5873E

图标


3.4 通过广告获利

程序包含applovin和google广告,程序主要目的就是通过群发短信,让更多的人安装盗版的Tiktok,进而通过内置的广告获利:
广告模块:
图9 程序嵌入的广告模块
AppLovin广告模块:
图10 AppLovin广告模块

4.情报挖掘溯源

短信包含地址:http://t***.cc/Tiktokpro
短地址域名:t***.cc
域名对应IP:157.***.***.153 美国纽约州 纽约
真实下载地址:https://raw.gi******nt.com/newtiktokpro/login/master/Tiktok%20pro.apk。
下载地址域名:raw.gi******nt.com。
域名对应IP:151.***.**.133 美国。

5.IOCs

文件SHA1:

6FAA034AB2F1154825A50897A2ACE54FBE87B3C1
324005D7DC633F89EA6108FA072B6C83F3EAF4FC
CFE7DCE6C4039FE709091703D2C1EE8071564999
11CD5C4C5F37D80A9DD3BBF6B1CB532F6C58370D
BAB55B26C840F0FA233E36A6C966EFBF4BA64E74
A0D4F9D00FDB903DCAD27E0A07623571CF2FDF54
25E27DB61F2E0C035CB4E16FA0D75002E7F07E26
DE72D4A582D4872168E6F4AD4DD03EC6E544B243
F8996B8DA8C4FA4084757FF171FE886E50015B84
CE62651512A26324CB50CF731B2D5A0BFEFA9B8F

C2

t***.cc
raw.gi******nt.com


戳“阅读原文”查看更多内容