冠状病毒热点引发持续攻击事件

武汉冠状病毒的爆发成为各领域威胁行为者利用其进行投放攻击的热点。从PC端的巴西某黑产利用疫情相关视频暗地里安装银行木马、Emotet通过分发附有日本冠状病毒患者报道的电子邮件传播恶意病毒到移动端的攻击者通过冠状病毒应用名称诱导用户安装监控软件无不渗透者冠状病毒这个话题。
继前两周发布的“冠状病毒”引发的移动安全事件报告中提到的“Coronavirus”监控木马。最近暗影安全实验室在日常监控中又发现了一款名为“Corona1”的应用，该应用安装启动后会隐藏自身图标，并诱导用户安装一款应名为“Coronavirus”（中文名为冠状病毒）的应用，该应用并不具有恶意行为，猜测攻击者利用冠状病毒热点诱导用户安装该应用只是为了掩盖“Corona1”执行恶意行为，使用户难以察觉真正的毒爪。在用户未知情况下，该应用通过手机连接的局域网对用户手机进行远程控制，执行多达70余条不同功能的远控指令。不仅如此，该程序还会从局域网的控制端下发新的C2服务器地址，在用户手机断开局域网后，可以使用新的C2服务器继续操控用户手机，以达到持续控制用户手机的目的。
样本信息：
安装名称：Corona1
包名：system.operating.dominance.proj
文件MD5：E5E97B95D4CA49D2F558169851AF5EEC
程序运行流程图：
该程序的运行流程较简单，应用安装启动后会获取root权限、请求敏感权限。接着开启线程socket连接服务器，下发命令上传用户隐私数据。与此同时诱导用户安装Coronavirus应用。

 图1-1 运行流程图
技术原理
诱导安装应用
程序启动后通过执行cmd命令获取root权限，目的是在用户不知情的情况下静默安装Coronavirus应用或执行高权限行为。如果获取root权限成功，则进行静默安装否则进行普通安装。

 
图2-1 获取root权限
Coronavirus应用是由AppsGeyser平台快速打包的应用，并不具有疫情相关功能。安装目的是掩护“Corona1”执行恶意行为以及弹广告。这样即使用户卸载该程序也不影响真正恶意软件的运行。

 
图2-2 Coronavirus运行界面
远程控制
该应用程序采用的是socket通信。客户端连接IP为192.168.**.**，端口号为2222。通过socket连接下发指令以及上传用户信息。

 
图2-3 连接服务器
指令列表

部分代码截图
该恶意软件会上传用户详细的设备信息。如设备ID、SIM卡序列号、手机号码、厂商、型号等信息。

 
图2-4 获取详细设备信息
获取用户通话记录列表中联系人电话、来电类型、日期、持续时间等信息。
 

图2-5 获取用户通话记录
注册广播监听用户短信信息，一旦监听到用户手机接收短信，获取短信内容并上传至服务端。
 

图2-6 监听用户短信
获取应用进程信息:如进程优先级、nice值、调度策略、前台运行还是后台运行、耗费的CPU时间、耗费的用户时间和系统时间。

 
图2-7 获取设备进程信息
获取剪切板内容或替换剪切板内容。当用户需要输入账号密码如比特币地址时由于地址值较长一般用户无法记住而采用复制粘贴的方式，这样就可以盗取用户账号密码信息。

 
图2-8 获取剪切板内容
执行cmd命令执行截屏、录屏操作。截屏也是窃取用户账号密码的另一种方式。录屏可以监视用户的每一个操作。

图2-9 执行截屏、录屏操作
由于该应用需连接同一局域网才能连接服务器执行恶意行为。所以该应用可用于以下场景：
1. 公共场所，比如疫情期间车站乘车时,下载某应用就能免费上网（恶意wifi）；
2. 熟人之间，连接同一个wifi，安装该软件可用于监控和操纵对方手机；
处理建议：
· 对用户来说，应该避免连接不能确认安全性的wifi网络，以免中招；
· 应该通过正规应用商店下载需要使用的应用程序；
· 当已经安装该程序后，应及时卸载，用户可通过在设置->应用目录下找到该应用进入到应用详细页面进行卸载