Android应用也能带来DDOS攻击?

  • A+

译文声明
本文是翻译文章,文章原作者 Lukas Stefanko ,文章来源:
原文地址:https://www.welivesecurity.com/2020/05/11/breaking-news-app-promises-news-brings-ddos-attacks/

前言

ESET研究人员发现了一款用于发动DDoS攻击的恶意Android app。由于攻击目标正是ESET的网站,ESET的研究人员才能够及时识别该应用,对其进行分析。随后向谷歌报告,谷歌很快将其从Play store中删除。

针对ESET网站www.eset.com的攻击发生在2020年1月。此次攻击共持续了7个小时,攻击期间共使用了4000多个独立的IP地址。

根据我们的分析,此次攻击是使用数千个名为“Updates for Android”的应用程序进行的,这些应用程序当时在官方Android应用程序商店上提供下载。该应用程序唯一的恶意功能是从攻击者控制的服务器加载JavaScript并在用户设备上执行恶意的JavaScript。这就解释了为什么这个应用程序能进入Play store。

“Updates for Android”应用程序于2019年9月9日首次上传至Play store。该应用程序的最初版本并没有加载JavaScript的功能,但是为了执行DDoS攻击,它在发动攻击前两周将该功能添加到应用程序的最新更新中的。应用程序的累积安装次数超过50000次,我们不知道具体有多少用户安装了更新后的版本,或者更新到了恶意版本。好在接到我们的通知后,Google迅速将该应用从Play store中删除。

为了吸引受害者,同时让应用看起来合理,应用内置了一个相应的网站i-updater[.]com,将自己伪装为“每日新闻更新”。(目前网站仍在运行;由于网站本身没有恶意,因此没有任何理由提交takedown申请。)

::: hljs-center

1.png
图1.宣传应用程序的网站

:::

伪装

目前“Updates for Android”仍然可在非官方应用程序源中下载,并向用户显示每日新闻的提要。

::: hljs-center

2.png
图2.恶意应用在删除之前在Google Play上的样式

:::

为了避免怀疑,该应用程序确实会显示一些新闻。但是,它的主要功能是从C&C服务器预定义的网站接收恶意命令。恶意软件每150分钟对C&C进行一次ping操作,并上传设备ID(一种可以对每个设备进行单独控制的措施)。

::: hljs-center

3.png
图3.可以由app执行的命令列表

4.png
图4.从C&C收到的命令列表

:::

恶意功能

根据应用程序从C&C接收到的命令,该恶意软件的主要行为包括在用户的默认浏览器中显示广告(请注意:此功能已经超过的应用程序原有的权限),通过隐藏应用程序的图标隐藏应用程序的存在,执行远程提供的JavaScript。

最后一项功能用于在ESET网站上进行DDoS攻击。

样本的分析。

该恶意软件将打开一个名为new_method.html的本地文件,它的目标是加载C&C服务器提供的远程JavaScript。

::: hljs-center

5.png
图5. new_method.html 文件的内容

:::

根据从C&C接收到的JavaScript代码,该设备每秒都会连接到目标网站,以向其充斥流量,进行DDOS攻击。

::: hljs-center

6.png
图6.从攻击者的服务器返回并由受感染的设备执行的代码

:::

DDOS开始的标志是从指定目标域加载攻击者脚本,脚本加载后,设备开始向目标域不断发出请求,直到C&C服务器为其提供另一个脚本,推测该脚本可能包含不同的目标域。

自从我们开始监视向僵尸网络提供C&C功能的网站以来,我们还发现了六个脚本也正在执行相同的操作,每个脚本都包含一个不同的域,供被其捕获的设备进行攻击。这些都是著名的新闻和电子商务网站,其中大部分在土耳其。

结论

上述的DDoS攻击取决于攻击者实际可控的被感染设备的数量。在理论上的50,000+中,大约有10%实际上参与了攻击。

所攻击表明,攻击者可能会耐心等待应用程序的用户群增长到其所需的大小时,然后才将恶意功能实现到应用程序中。

检测这种恶意功能并不容易,因为数十种合法的Android软件开发工具包和框架也使用同样的技术(当然,不加载任何恶意JavaScript)。这意味着任何基于此类代码的简单检测都会导致大量误报。

虽然,简单的解决方案并不可行,但这并不意味无法检测这种攻击。根据我们从这个应用程序的特性和行为中学到的知识,我们改进了检测机制。其中一些改进已经在应用防御联盟,用于保护Play store。在我们的终端安全解决方案中,其他安全措施正在逐步实现,包括基于机器学习的检测。

威胁的观测和指示(IoC)

| 包名| 哈希值| 检测|
|-|-|-|
|com.world.hello.myapplication|34A6BD8B96729B6F87EC5E4110E02BEE1C76F5A9|Trojan.Android/Hiddad.AJN|

MITRE ATT&CK

|策略|ID|名称|描述|
|-|-|-|-|
|初始访问|T1475|通过授权的应用商店交付恶意应用|该恶意软件冒充了Google Play上的合法服务。|
|持久性|T1402|应用程序在设备启动时自动启动|恶意软件侦听启动完成的广播,确保每次设备启动时都会激活应用程序的功能。|
|防御规避|T1508|隐藏应用程序图标|恶意软件对启动程序隐藏其图标。|
|影响|T1472|产生欺诈性广告收入|恶意软件可以显示不需要的广告。|
|命令与控制| T1436| 常用端口| 该恶意软件使用端口443进行C&C通信。|
||T1437| 标准应用层协议| 该恶意软件使用HTTPS进行C&C通信。

PS:从非官方渠道下载软件而带来的攻击事件层出不穷,令人防不胜防。而且软件下载时,一般都会带有红色提醒“为防止杀毒软件误报误杀,请务必退出360,腾迅管家等杀毒软件”。下载站乱象一直存在,就算没有暗藏恶意代码或后门,大量推广和捆绑软件的安装也令人厌烦。建议大家尽量从官方途径下载软件,不得已从下载站下载时,注意比对一下数字签名。

相关推荐: Dump lsass.exe 新思路

今天在twitter上发现一个dump lsass新思路。bypass av哦。 createdump.exe是.NET5 自带的工具。 .NET5 安装程序下载地址:.NET5 下载连接 安装后文件路径 language C:Program Filesd…