最近趨勢科技的研究人員發現了自 2022 年 7 月以來針對中國台灣、泰國和印度尼西亞的 Android 手機用戶的持續惡意軟件活動,并将其命名為 TgToxic。該惡意軟件竊取用戶的憑證和資産,如數字錢包中的加密貨币,以及銀行和金融應用程序中的資金。
通過分析惡意軟件的自動化功能,研究人員發現了攻擊者濫用了合法的測試框架 Easyclick,為點擊和手勢等功能編寫了基于 javascript 的自動化腳本。研究人員發現攻擊者的目标是通過嵌入多個虛假應用程序的銀行木馬,趨勢科技根據其特殊的加密文件名将其檢測為 AndroidOS_TgToxic,該木馬從金融和銀行應用程序 ( 如加密貨币錢包、手機上官方銀行應用程序的憑據和存款 ) 中竊取受害者的資産。雖然之前針對的是中國台灣的用戶,但在撰寫本文時,研究人員已經觀察到針對泰國和印度尼西亞用戶的欺詐活動和網絡釣魚。建議用戶小心打開來自未知電子郵件和消息發送者的嵌入鍊接,并避免從第三方平台下載應用程序。
發現過程
自 2022 年下半年以來,研究人員一直在監測這個活動,發現它的基礎設施和目标在不斷變化。以下是該活動時間表:
2022 年 7 月:Facebook 上出現了欺詐性帖子,通過社交工程在社交媒體平台上嵌入了針對中國台灣省用戶的釣魚鍊接;
2022 年 8 月下旬至 10 月:色情欺詐還針對中國台灣和印度尼西亞用戶,誘使他們注冊,以便攻擊者竊取他們的證件;
2022 年 11 月至 2023 年 1 月:短信釣魚 ( SMiShing ) 針對泰國用戶,在此期間使用的一些網絡釣魚網站還顯示,攻擊者通過加密貨币騙局将其活動進一步擴展到印度尼西亞。
早期活動:通過 Facebook 進行欺詐
2022 年 7 月,研究人員發現兩個可能被黑客入侵的 Facebook 賬戶在一些台灣社區團體上發布了詐騙信息,聲稱用戶可以獲得飓風、洪水和新冠疫情的救助補貼。這些帖子告訴用戶可以在 download.tw1988 [ . ] link 中注冊申請,而這實際上是一個釣魚網站。不知情的用戶可能會成為受害者,因為該鍊接僞裝成政府官方網站 https://1988.taiwan.gov.tw/,該官方網站用于向困難人群提供補貼。
Facebook 上發布的詐騙帖子示例,文字翻譯為 " 夏季将發放 28000 項福利,現在輸入 https [ : ] //st7 [ . ] fun/20 就可以收到你的勞工補貼 "。該應用程序還顯示了潛在受害者就業類别的選項:" 農民和漁民的生活津貼 "、" 無固定雇主的自營職業工人和勞動生活津貼 ",以及 " 旅遊巴士、出租車司機、導遊、領隊和其他補貼 "。
色情詐騙和加密貨币
通過追蹤 TgToxic 使用的網絡基礎設施,研究人員随後發現了中國台灣和印度尼西亞色情和加密貨币詐騙的幕後黑手。這些惡意應用程序也可以通過 down [ . ] tw1988 [ . ] link 從同一網站下載,并僞裝成約會、消息、生活方式或加密貨币相關應用程序,誘騙用戶安裝并啟用其權限。
虛假應用程序在下載後立即啟動注冊頁面以誘導用戶,惡意軟件 TgToxic 開始在後台運行
在印度尼西亞,虛假應用程序誘導潛在受害者進入色情勒索和加密貨币詐騙釣魚網站
針對泰國的網絡釣魚活動
當研究人員繼續監控 TgToxic 惡意軟件及其網絡基礎設施時,他們發現,在 2022 年底至 2023 年 1 月初的幾周内,該活動背後的攻擊者開始以泰國用戶為目标,并觀察到類似的色情和網絡釣魚誘餌針對中國台灣用戶,該組織開始添加惡意代碼,以竊取銀行應用程序中的憑據。研究人員還發現,這兩個攻擊已經引起了當地媒體的關注,并在 Facebook 上受到了大衆社區的報道。
泰國當地流行的社交媒體賬戶讨論了使用流行聊天和約會應用程序的假冒版本的網絡釣魚計劃 ( 左 ) ,以及與一名受害者的對話,該受害者也證實了惡意軟件是通過 smishing 發送的 ( 右 )
網絡釣魚、色情和加密貨币騙局與 TgToxic 惡意軟件的最新部署樣本都有關系,因為它們都是從同一個網站下載的,下載鍊接為 down [ . ] tw1988 [ . ] link。通過觀察命令和控制(C&C)服務器之間的通信,這些應用程序和惡意軟件的 C&C 從 api [ . ] tw1988 [ . ] link 更改為 test [ . ] ja7 [ . ] site,後來更改為 us [ . ] ja7 [ . ] site。
TgToxic 的技術分析
研究人員分析了惡意軟件 TgToxic 是基于一個名為 Eacyclick 的合法自動化測試框架開發的,該框架支持通過 JavaScript 編寫自動化腳本。該腳本可用于自動劫持 Android 設備的用戶界面(UI),以自動執行諸如監視用戶輸入、執行點擊和手勢等功能。
使用上述框架,TgToxic 可以開發自己的自動化腳本,通過竊取受害者放置用戶名和密碼的用戶憑據來劫持加密貨币錢包和銀行應用程序。一旦獲得了憑證,攻擊者就可以在不需要用戶批準或确認的情況下,使用官方應用程序進行小額交易。與其他銀行惡意軟件一樣,TgToxic 還可以通過短信和安裝的應用程序竊取用戶的個人信息,這些信息可以用來通過進一步掃描設備是否存儲了攻擊者感興趣的應用程序來選擇目标受害者。
目前,TgToxic 仍在快速發展,并繼續添加新功能,複制更多應用程序以竊取憑據并适應不同的應用程序 UI,并從受害者那裡收集更多信息。在這次分析中,研究人員選取了針對泰國移動用戶的最新樣本進行分析。
代碼混淆和有效負載加密
TgToxic 惡意軟件使用兩種方法來逃避檢測和分析,研究人員将其分為兩部分:
代碼混淆:TgToxic 混淆了類名、方法名和字段名,這使得一些分析師更難進行逆向工程。
有效負載加密:TgToxic 将 Easylick 腳本放在一個名為 "tg.iapk" 的資産文件中,該文件是一個加密的 Zip 文件,并将在應用程序啟動時動态讀取其中的内容。該惡意軟件實現了一種無文件的方式來解密和加載負載,并在解壓縮後添加了一個額外的邏輯。
APK 結構和有效負載
解密有效負載并濫用輔助功能服務劫持設備 UI
tg.iapk 加密過程
正如 McAiden 的研究人員所指出的,tg.iapk 是一個加密的 .zip 文件。通過靜态分析,研究人員發現解壓密碼經過特殊編碼并存儲在 .zip 注釋部分,該部分通常用于記錄 .zip 描述。此部分的内容不會影響壓縮後的内容。要獲得 .zip 文件的密碼,注釋部分的内容将按照代碼中指定的方式進行解碼。
Zip 密碼解碼功能
解壓縮後,研究人員發現所有文件都是二進制文件,所有文件的前四個字節都是 "0x00092383",這是專門加密的文件。通過反向分析,研究人員找到了解密函數。為了隐藏解密細節,使用反射調用密鑰類和密鑰方法,并加密相關的符号名稱。
特殊加密文件
加密文件解密功能
通過分析解密函數,研究人員得到了加密文件的格式。加密文件對密碼進行了編碼,并将其保存在文件的開頭(緊跟魔術數字),同時将加密數據保存在文件末尾。密碼的解碼方式與 zip 密碼的解碼方法相同。
特殊加密文件格式
運行時引擎中運行的預編譯腳本
自動化腳本被預編譯為 Java,并使用 Rhino 的運行時,Rhino 是一個在 Java 中運行 JavaScript 的開源引擎。調用函數中的每個開關分支都是一個 JavaScript 函數,研究人員将解釋代碼如何使用來自惡意軟件的簡單函數運行。
從一個 Javascript 函數編譯的 Java 字節碼
此函數用于收集設備信息并發送到 C&C 服務器。它首先遍曆一個預定義的變量 "walletListAry",其中包含攻擊者感興趣的加密貨币錢包的包名列表。然後,惡意軟件調用 "isAppExist" 來檢查應用程序是否在系統中。如果确認,包名稱将被推送到數組中。
然後,惡意軟件以同樣的方式檢查電子郵件應用程序,并創建一個 .json 對象,其中包含它收集的信息。"apps" 字段包含已安裝的加密貨币錢包的包名稱,"mails" 字段包含安裝的電子郵件應用的包名稱。最後,它調用 "JSON.stringify" 将 .JSON 對象序列化為字符串,并調用 "emitEnc" 通過 WebSocket 将信息發送到 C&C 服務器。
C&C 通信和數據洩露
惡意軟件使用 WebSocket 作為腳本執行的 C&C 通道。它将調用 "StartWs" 連接到 WebSocket 服務器,然後設置 "new_msg" 事件偵聽器以接收和解析 C&C 命令。完整的 C&C 命令列表如下所示:
另一個值得注意的細節是,TgToxic 将根據受感染設備的地區連接到不同的 C&C 服務器。雖然研究人員仍在繼續跟蹤,但除了目前确定的三個國家之外,還沒有在其他地區或國家發現 TgToxic 活動,但他們認為,這次攻擊背後的攻擊者正試圖根據這些不同服務器的可用性将其活動擴展到其他國家。
根據設備區域獲取 C&C 主機前綴
數據通過 C&C 通道洩露。以短信竊取為例,惡意軟件首先調用 "getSmsInPhone" 從郵件收件箱中提取所有短信,然後通過 WebSocket C&C 通道将竊取的數據上傳到服務器。
提取所有文本消息
自動授予權限和防止卸載
TgToxic 可以劫持系統應用程序自動授予自己權限,并在受害者試圖卸載惡意軟件時阻止卸載。以下是惡意軟件試圖劫持的系統應用程序及其相應用途的列表:
惡意軟件試圖控制的系統應用程序列表
控制自動轉賬的金融應用程序
TgToxic 實施自動轉賬服務(ATS),用戶不知情的情況下向攻擊者轉賬。該惡意軟件首先秘密竊取密碼并解鎖手勢,當它檢測到用戶擁有錢包應用程序時,惡意軟件将檢查特定的活動,并通過密鑰日志記錄用戶是否輸入密碼。如果用戶用手勢解鎖設備,它還可以截屏。
一旦收到來自 C&C 服務器的 "walletSend" 命令,惡意軟件就會覆蓋全黑屏幕,以防止受害者意識到惡意活動和傳輸。然後,它打開錢包應用程序并收集鍊類型和餘額等詳細信息。然後,TgToxic 将通過無障礙服務模拟用戶點擊所有鍊類型的特定收件人:
1. 檢查鍊類型是否為 "usdt",并輸入錢包詳細信息;
2. 點擊轉移按鈕;
3. 輸入接收者地址;
4. 輸入轉賬資金;
5. 進入轉賬詳情頁面;
6. 輸入密碼;
7. 點擊 " 确認 " 按鈕;
檢查鍊類型并輸入錢包詳細信息
輸入被盜的地址信息和收件人的地址
輸入錢包密碼并确認交易
目标應用程序
以下是惡意軟件從中竊取受害者信息的應用程序列表,列表來自針對泰國的最新樣本:
Android 設備被攻擊後,惡意軟件從中獲取信息的應用程序列表:
總結
盡管部署時間不同,但研究人員發現針對中國台灣、印度尼西亞和泰國的社交媒體網絡釣魚活動和網絡基礎設施類似。當受害者從攻擊者提供的網站下載虛假應用程序時,或受害者試圖通過 WhatsApp 或 Viber 等消息應用程序直接向攻擊者發送消息時,攻擊者會欺騙用戶注冊、安裝惡意軟件并啟用其所需的權限。一旦獲得授權,手機就會被攻擊者自動控制,設備中的合法應用程序及其資産将面臨風險。
從分析來看,惡意軟件本身雖不複雜,但很有趣。濫用 Easylick 和 Autojs 等合法的自動化框架可以更容易地開發複雜的惡意軟件,特别是對于可以濫用 Accessibility 服務的 Android 銀行木馬。框架的複雜性也使逆向工程分析變得困難。由于框架的便利性和反逆向工程設置,未來很有可能有更多的攻擊者可以利用并使用這種方法。
通過對攻擊者的調查,研究人員認為負責這個活動的組織或個人之前并未出現過,但對該地區的目标比較了解,比如繁體和簡體中文用法。研究人員觀察到的一個有趣的細節是,2022 年 8 月,台灣有很多濫用津貼援助主題的騙局。
雖然研究人員也對受害者的部署和企圖有深入了解,但關于當地受害者的實際人數的信息很少。
緩解措施
避免安裝來自未知來源和平台的應用程序。不要點擊直接嵌入短信或電子郵件中的應用程序、安裝程序、網站,尤其是來自未知發件人的應用程序;
不要啟用敏感的權限,例如從未知應用程序啟用或下載的輔助功能服務;
還有就是要關注一下攻擊迹象,比如雖然設備未使用,但電池電量消耗很大,這就是危險信号。
