CERBERUS:FreeBuf首發專業認證：Android Cerberus惡意樣本分析-ODAILY

AndroidCerberus惡意樣本分析惡意樣本特征流程概覽內存解密新dex地區白名單隱藏圖標定時觸發保活廣播計步機制觸發與C2服務器通信更新攻擊命令忽略電池優化竊聽短信消息激活設備管理員啟動后臺服務誘導啟用無障礙服務請求竊聽短信所需的權限啟動設備鎖更新輔助服務狀態到payload無障礙服務木馬傳播機制總結參考文章

AndroidCerberus惡意樣本分析

前段時間網上流傳Android平臺Cerberus木馬家族出現了新的變種，在網上找了一番沒有找到新變種的木馬樣本反而找到了2019年6月披露的一批樣本，這里挑選了其中一個樣本深入的分析下看看Cerberus木馬的工作機制。

Cerberus木馬的詳細介紹可以閱讀之前發的文章：https://mp.weixin.qq.com/s/UewBO4RgTlh9vBKzqYXEcQ

惡意樣本特征

樣本名稱：FlashPlayer

應用包名：com.uxlgtsvfdc.zipvwntdy

SHA-256：728a6ea44aab94a2d0ebbccbf0c1b4a93fbd9efa8813c19a88d368d6a46b4f4f

FreeRossDAO發起結束終身監禁運動，用戶完成指定活動將獲得代幣獎勵:9月13日消息，FreeRossDAO正在發起一場結束終身監禁的運動，將致力于釋放Ross Ulbricht和所有其他受到無期徒刑和殘酷性影響的人，并為他們提供支持。

為了圍繞這項活動， FreeRossDAO動員社區，使用其賞金系統創建了一些“Action Items”，完成這些活動的人將獎勵FREE代幣。FreeRossDAO為此活動計劃的“Action Items”包括與國會代表聯系以支持量刑改革立法、給被判終身監禁的人寫信、簽署請愿書以支持個人寬大處理等。[2022/9/13 13:26:26]

流程概覽

惡意樣本的執行流程大概如下：

內存解密新dex

Android應用程序必須在AndroidManifest.xml文件中聲明其使用的服務、廣播接收器和活動組件才能使用它們。在反編譯Cerberus惡意樣本中很明顯能看到其使用的服務、廣播接收器和活動等組件并不在主dex文件中，所以這里基本可以判斷其核心dex文件是在內存中動態解密的。

Axie Infinity 聯合創始人 Jeffrey Zirlin 加入加密風投機構 1kx，指導玩賺游戲市場投資策略:11月11日消息， NFT 游戲 Axie Infinity 聯合創始人 Jeffrey Zirlin 作為 Venture Partner 加入加密風投機構 1kx，將指導該機構對玩賺游戲市場的投資策略。1kx 表示，自 2020 年投資與元宇宙相關項目，包括 The Sandbox、Zesty Market、Nftfi、Niftex、Rarible，并稱玩賺游戲在元宇宙中具有重要地位，可以更公平地分配虛擬經濟，將貢獻和建設的激勵機制轉移到各個游戲的參與者身上。[2021/11/11 6:45:23]

地區白名單

惡意樣本在解密釋放新的dex文件后判斷當前感染者所在國是否在白名單中，如果在白名單中則不執行惡意行為。

白名單國家名單有：烏克蘭、俄羅斯、白俄羅斯、塔吉克斯坦、烏茲別克斯坦、土庫曼斯坦、阿塞拜疆、亞美尼亞、哈薩克斯坦、吉爾吉斯斯坦、摩爾多瓦等。

BlackHole Protocol CMO Freeman：BlackHole Protocol V0.1 Fermion 版本正式上線:據官方消息，7月09日晚，由Gate.io主辦的直播專訪節目《酒局幣赴》邀請到BlackHole Protocol CMO Freeman直播分享近期最新發展。

直播期間Freeman與Gate.io立冬就BlackHole Protocol及其相關事項進行了探討與交流。

Freeman表示，黑洞協議BlackHole Protocol是一個基于Ethereum網絡的無許可的跨鏈燃燒平臺。任何用戶或者項目治理者都可以通過持有黑洞協議燃燒代幣BLACK與舊Token的組合創建燃燒池從而永久地銷毀舊Token并產生全新的Token，從而賦予新項目全新的生態活力。

此外，BlackHole Protocol 的第一個版本 V0.1 Fermion經過3個月的開發，已于近期上線第一個單幣燃燒池,用戶可以通過燃燒BLACK獲得WAR，與此同時還上線了“IBO”（Initial Burning Offering）子模塊。BlackHole Protocol V0.1 Fermion 版本已經完成在 Ethereum、BSC、HECO等多條公鏈部署工作，還將同時上線挖礦功能，預計會在首個燃燒周期結束后開放，用戶可以通過質押單幣或LP，享受單挖、雙挖甚至多挖的流動性獎勵。[2021/7/10 0:40:53]

知名投資人Fred Wilson：以太坊需求側起飛增長，推高ETH幣價格:Twitter 等知名互聯網企業的投資人、聯合廣場基金聯合創始人 Fred Wilson 昨日在博客表示，過去十二年里絕大多數加密區塊鏈網絡主要以購買、持有、投機為主，這些行為為區塊鏈網絡的供給側提供了資金支持，但以太坊和一些區塊鏈網絡正在改變現狀，你需要 ETH 才能在以太坊網絡上做事情，比如像我一樣購買域名、P2P 金融、購買藝術品、賽馬游戲等等。購買 ETH 的人越多，需求側增長就越快，以太坊的價值會越來越高。他也提醒讀者，當然現在也可能在經歷新的投機浪潮，但我認為目前需求側已經起飛了。[2021/5/4 21:22:06]

隱藏圖標

如果感染者不在白名單國家則惡意軟件將進一步執行，其通過禁用入口組件來實現隱藏圖標使其在手機桌面上不可見來規避感染者卸載惡意應用。

定時觸發保活廣播

惡意軟件通過在清單文件中注冊高頻的系統廣播事件以及定時讓系統時鐘發送自身廣播事件實現了一個簡單的保活機制使其能持續的活動在系統中。

新加坡SugarFree基金會與泰坦協議達成戰略合作:新加坡SugarFree基金會與泰坦協議達成戰略合作，新加坡SugarFree基金會將在二級市場持續買入并持有10萬枚TIT作為側鏈抵押，以泰坦協議公鏈作為底層搭建醫療保健區塊鏈平臺發行生態通證SFC，將致力于創建全球參與的醫療保健生態體系。每一位用戶的健康信息被準確及時安全地記錄上鏈，機構和個人都可存儲并分享醫療信息。[2020/12/26 16:35:00]

計步機制觸發與C2服務器通信

在保活廣播接收器組件中，實現了一個簡單的計步器來觸發木馬與C2服務器的通信。

更新攻擊命令

計步數量達到閥值后，啟動HBOxMrf木馬服務拉取C2服務器的攻擊命令，C&C服務器地址為：http://94.156.77.32/gate.php目前服務已經無法正常訪問。

客戶端與C2服務器交互流程如下：

1.首先拉取C2服務器下發的攻擊命令。

忽略電池優化

Cerberus木馬除了定時觸發保活廣播，還通過將自己加入電池優化白名單中來增強持續在系統中執行惡意活動的可能。

竊聽短信消息

保活廣播接收器同時也在接收短信消息類型的系統廣播，當收到此類型廣播時則讀取出短信內容和發信人并保存到配置文件中，為后續執行惡意活動竊取短信消息做準備。

激活設備管理員

Cerberus木馬除了通過隱藏圖標的方式防止感染者卸載自身外，還通過激活設備管理員權限來防止感染者卸載自身，同時也為了防止其他安全軟件查殺卸載Cerberus木馬。

啟動后臺服務

誘導啟用無障礙服務

Cerberus木馬的所有敏感操作都嚴重依賴于無障礙服務的啟用，其通過循環拉起“啟用無障礙服務界面”來誘導感染者對其進行無障礙服務授權。

請求竊聽短信所需的權限

請求竊取短信消息和聯系人所需的權限。

啟動設備鎖

根據lockDevice標記執行設備鎖操作。

更新輔助服務狀態到payload

無障礙服務

無障礙服務啟用后通過監控界面元素，模擬點擊界面授權按鈕來完成權限的自我授權和設備管理員的激活操作。同時監控界面活動是否正在進行安全掃描、是否正在卸載惡意軟件來避免木馬被查殺和卸載。包括監控界面是否打開目標活動，將其通知給payload完成界面劫持攻擊操作。

在無障礙服務中模擬點擊激活按鈕，完成激活設備管理員防止被用戶卸載，也為后續鎖定設備提供權限支撐。

監控界面是否在GooglePlay保護機制掃描界面，如果是則發送回退事件防止被查殺。

監控當前前臺活動發送到payload執行相關攻擊操作。

木馬傳播機制

Cerberus木馬的作者曾在Twitter上表明，其傳播采用釣魚網站以FlashPlayer的形式進行傳播來誘導用戶下載安裝惡意木馬。建議用戶在網站下載應用時應特別注意網站的真實性和安全性避免被釣魚或劫持攻擊。

總結

Cerberus惡意木馬通過字符串混淆、執行流混淆、動態加載代碼、動態解密字符串和實現了一個簡單的計步器機制來對抗安全人員的分析工作。同時利用了Android無障礙服務的屏幕監控功能，通過監控手機屏幕內容的改變事件，模擬點擊危險權限授權按鈕進行自我授權、監控用戶的安全掃描和卸載行為進行自我保護以及監控前臺應用活動界面完成對目標的劫持攻擊。

對于本次分析遺憾的是由于C2服務器的關閉導致無法獲取到核心的payload代碼和相關惡意指令，從而無法進行更加全面的分析木馬的攻擊機制。但payload想要完成攻擊終究還是依賴于無障礙服務的啟用，我相信Cerberus木馬家族的新變種也會依賴于該功能，所以建議在日常使用Android設備時應謹慎啟用設置中的無障礙服務開關。

Cerberus仍是目前較為活躍的Android平臺新型木馬，其作者通過租賃的方式進行盈利，同時在黑市和Twitter上宣傳木馬內容從而吸引惡意活動參與者購買此木馬。

此類木馬危害極大，普通用戶在下載相關軟件時請首先確認網站的真實性，確保軟件來源的可靠性防止被釣魚攻擊下載到此類惡意軟件。

參考文章

https://www.threatfabric.com/

Tags：ERBCERBERCERBERUStogetherbnb手游下載女鬼cere幣怎么買SaberCERBERUS價格

ICP