趨勢科技研究發現了一款Android惡意木馬——Xavier。在谷歌Play應用市場中，超過800款Android應用感染了該惡意木馬，影響數百萬Android用戶。感染的應用范圍覆蓋圖片編輯器，墻紙和鈴聲轉換器等。受感染的用戶絕大多數來自亞洲東南部國家，如越南、菲律賓和印度尼西亞，美國和歐洲的感染人數較少。

?

?

對比此前惡意廣告木馬，Xavier的功能及特征更為復雜。首先他具備遠程下載惡意代碼并執行的能力。其次，它通過使用諸如字符串加密，Internet數據加密和模擬器檢測等方法來保護自己不被檢測到。

?

Xavier竊取用戶數據的行為很難被發現，它有一套自我保護機制，來躲避靜態和動態的檢測分析。此外，Xavier還具有下載和執行其他惡意代碼的能力，使它的威脅性大大增加。

?

Xavie進化史

?

joymobile

Xavier是惡意廣告下載家族的成員之一，它的存在已有2年時間。第一個版本被稱為joymobile，出現在2015年年初。joymobile這個版本已經具備執行遠程代碼的能力。

?

除了收集和泄露用戶信息，它還可以安裝其他應用，并在設備root的情況下實現靜默安裝。

?

它通過遠程命令和C&C服務器來發送和接受信息，并對這些信息沒有加密，但是對所有的常量字符串都進行了加密。

?

?

nativemob

第二個版本命名為nativemob，對比joymobile我們可以發現nativemob的代碼重構了，并增加了一些新特新。主要是廣告行為和實用程序。雖然沒有靜默安裝，但是需要用戶確認安裝的程序仍然存在。

?

它比第一個版本收集更多的用戶信息，并通過base64編碼發送這些信息到C&C服務器。

?

?

nativemob的下一個變種出現在2016年1月左右，它縮減了字符串加密算法，加密了從遠程服務器下載的代碼，并添加了一些反射調用。

?

?

緊接著在2月份，它更新了各方面的廣告模塊設置，并出于某種原因刪除了數據加密。

?

?

在接下來的幾個月里進行了進一步更新。但是這些更新對于廣告庫沒有進行重大更改。

?

Xavier技術分析

Xavier的變體出現在2016年9月，它的代碼更加精簡。第一個版本重去除了APK安裝和root校驗，但是加入了TEA加密算法。

?

?

很快它添加了避免動態檢測的機制，其結構如下：

?

一旦加載Xavier，它將從C&C服務器hxxps://api-restlet[.]com/services/v5/得到初始化配置，并使其加密。

?

服務器還對響應數據進行加密：

?

?

解密后，我們可以看到它實際上是一個json文件：

V代表SDK版本

L代表SDK URL地址

G代表SDK Sid

S代表 SDK設置

Au與ad配置相關

?

Xavier將從hxxp://cloud[.]api-restlet[.]com/modules/lib[.]zip下載SDK并讀取配置。但是，lib.zip不是一個完整的壓縮包。

在得到lib.zip壓縮包之后，Xavier在壓縮包里加入0x50 0x4B頭，并把它命名為xavier.zip的有效文件。

?

加入之前

?

加入之后

?

Xavier.zip包含加載和調用它的classes.dex文件。

?

?

這個dex文件將收集用戶的的設備信息，并加密傳輸到遠程服務器hxxps://api-restlet[.]com/services/v5/rD

如郵箱地址，設備ID，模型，操作系統版本，國家，手機制造商，SIM卡運營商，安裝的應用程序等信息。

?

?

為了躲避動態檢測，Xavier運行在模擬器環境下還會隱藏惡意行為。

它會檢測設備是否包含產品名稱、制造商、設備商標、設備模塊、硬件名稱、指紋等以下字符串。

?

• vbox86p
• Genymotion
• generic/google_sdk/generic
• generic_x86/sdk_x86/generic_x86
• com.google.market
• Droid4X
• generic_x86
• ttVM_Hdragon
• generic/sdk/generic
• google_sdk
• generic
• vbox86
• ttVM_x86
• MIT
• Andy
• window
• unknown
• goldfish
• sdk_x86
• generic_x86_64
• phone
• TTVM
• sdk_google
• Android SDK built for x86
• sdk
• Android SDK built for x86_64
• direct
• com.google
• XavierMobile
• TiantianVM
• android_id
• generic/vbox86p/vbox86p
• com.google.vending
• nox

?

?

Xavier還通過檢查它是否包含以下字符串，來隱藏掃描用戶郵箱的行為：

?

• pltest
• @facebook.com
• tester
• @google.com
• review
• playlead
• agotschin
• gptest
• rxwave 15
• rxplay
• admob
• gplay
• adsense
• gtwave
• rxtest
• wear.review
• qaplay
• test
• rxtester
• playtestwave

?

?

Xavier如何避免檢測？

1、對所有常量字符串進行加密，使得靜態檢測和動態分析更加困難

?

?

2、它通過HTTPS進行網絡傳輸，以防止流量被捕獲，還對數據進行加密：

?

?

3、它使用了大量反射調用方法，其中類名和方法名都進行了加密

?

?

4、它會根據運行環境隱藏其行為。下面是谷歌播放器的示例，嵌入了一個Xavier惡意廣告庫：

?

?

?

保護措施

1、提防可疑和陌生的應用軟件，即便是從官方應用市場下載的。盡量下載知名的應用軟件。

2、在下載應用程序之前，查看應用程序需要授權的權限，并了解其他用戶的評論。

3、建議在手機上安裝安全軟件，可以有效檢測并阻止惡意軟件，及時升級系統和app的版本。

?

* 本文翻譯自trendmicro，更多安全類熱點資訊及知識分享，請持續關注阿里聚安全博客

?

總結

以上是生活随笔為你收集整理的“Xavier”安卓木马分析：可静默收集数据并远程代码执行的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。