概述
2023年3月21日晚上,链安与中睿天下联合研发的监控系统检测到一种新型安卓木马。在经过睿士沙箱系统捕获样本之后,发现该安卓木马极有可能是原安卓网银盗号木马SOVA的变种。与此同时,意大利安全公司Cleafy发布了一篇题为《Nexus:一个新的安卓僵尸网络?》的报告,确认该病毒确实是SOVA的变种,并将其重新命名为Nexus。
样本分析
• 样本名称:Chrome.apk
• 样本SHA256为:376d13affcbfc5d5358d39aba16b814f711f2e81632059a4bce5af060e038ea4
• 样本文件大小:4792032KB
主要行为列表
• 删除指定应用以其应用数据
• 安装并启动任意应用
• 隐藏自身应用图标
• 卸载保护
• 上传用户短信数据以及通讯录
• 使用SmsManager发送短信、 删除短信、取消短信通知
• 拨打电话
• 获取用户cookie信息并上传,注入cookie等
• 读取并上传数字钱包信息
• 记录并上传键盘输入记录
• 查询敏感信息手机数据(查询存储邮件、应用账号数据、IMSI等手机信息)
• 设置静音
• 屏幕解锁
• 访问指定Url
• 试图禁用管理员用户
• 开启辅助功能
• 监听手机重启事件
• 使用DownloadManager下载文件
安装测试
当木马安装完成后,手机主界面会出现一个类似Chrome浏览器的图标,与真实的Chrome图标略有差异。木马使用的图标较小,但在没有相关对比的情况下,基本上很难识别出这种差异。
当木马启动后,界面会提示用户需要开启“无障碍功能”。在用户点击界面任意位置时,将自动跳转到系统内的“无障碍功能”设置并自动启用该功能。
在启动“无障碍功能”之后,程序会自动弹出并请求获取“设备管理员权限”。
在恶意应用获得设备管理员权限后,它会在后台不断收集用户信息,用户很难察觉其存在。一旦设备管理员权限被授予,用户在尝试打开设备管理员权限设置界面时会发现界面迅速关闭,无法撤销权限。类似地,通过adb执行操作时也会遇到相同问题,界面会立刻关闭。这是因为恶意应用程序已经监控了设备管理员设置界面的开启动作,从而阻止用户撤销其权限。因此,用户需要启用root权限才能成功卸载此恶意应用。
Bash |
样本深度分析
01
基础信息