Android木馬HongTouTou（又名ADRD）分析報告

一、 基本信息
病毒名稱：Trojan/Android.Adrd.a[Clicker]
病毒別名：HongTouTou、ADRD
病毒類型：木馬
樣本MD5：A84997B0D220E6A63E2943DA64FFA38C
樣本CRC32：A42850DE
樣本長度：1,316,981 字節
原始文件名：Newfpwap_com_liveprintslivewallpaper.apk
出現時間：2011.01.27
感染系統：Android 2.0及以上

二、 概述
    ADRD木馬（又名HongTouTou木馬）被植入十餘款合法軟體中，通過多家討論區、下載站點分發下載實現大範圍傳播。其主要行為包括：開啟多項系統服務；每6小時向控制服務器發送被感染手機的IMEI、IMSI、版本等信息；接收控制服務器傳回的指令；從數據服務器取回30個URL；依次訪問這些URL，得到30個搜索引擎結果鏈接；在後台逐一訪問這些鏈接；下載一個.apk安裝文件到SD卡指定目錄。感染該木馬的手機將產生大量網絡數據流量，從而被收取流量費用。攻擊者通過增加搜索鏈接的訪問量而獲益。

三、 樣本特徵
    截止本分析報告發佈，已經檢測到ADRD木馬（又名HongTouTou木馬）被植入到下列Android軟體： 
    動態腳印動態壁紙Live Prints Live Wallpaper
    TurboFly 3D
    Robo 3
    iReader
    桌面時鐘天氣Fancy Widget Pro
    炫彩方塊動態壁紙 Light Grid
    超級酷指南針
    指紋解鎖
    夕陽輪廓動態壁紙
    本報告涉及的樣本中，ADRD木馬被植入一款名為「動態腳印動態壁紙」（英文名「Live Prints Live Wallpaper」）的軟體之中，於1月27日出現在國內所有主流手機論壇之中。被植入軟體包括兩部分：
1. 正常程序liveprints：
1） 服務LivePrints：android.service.wallpaper.WallpaperService
2） Activity：.LivePrintsSettings
2. 惡意代碼com.xxx.yyy：
1） 接收器com.xxx.yyy.MyBoolService，用於啟動（android.intent.action.BOOT_COMPLETED）
2） 接收器com.xxx.yyy.MyAlarmReceiver，自定義行為（com.lz.myservicestart）
3） 接收器com.xxx.yyy.NetWorkReceiver，響應網絡狀態變化（android.net.conn.CONNECTIVITY_CHANGE）
4） 接收器com.xxx.yyy.CustomBroadCastReceiver，響應電話狀態（android.intent.action.PHONE_STATE）
5） 服務 com.xxx.yyy.MyService
樣本需要獲取系統的以下權限：
    讀取通訊錄數據
    對Internet的完全訪問
    修改/刪除SD卡的內容
    讀取和修改通話狀態
    寫入APN（Access Point Name）設置
    查看網絡狀態，查看Wi-Fi狀態
    開機時自動啟動

特徵字符串包括：
 http://adrd.taxuan.net/index.aspx?im=
 http://adrd.xiaxiab.com/pic.aspx?im=
 http://wap.baidu.com/
 imeiimsi
 myupdate.apk
 UNINET
 UNIWAP
 cmnet
 cmwap

四、 行為分析
接收器行為分析
1. com.xxx.yyy.MyBoolService
木馬通過這一接收器實現隨系統開機而啟動，然後發送com.lz.myservicestart廣播消息，並設置一個2分鐘後激活的Alarm。
2. com.xxx.yyy.MyAlarmReceiver
接收到com.lz.myservicestart廣播後，啟動MyService服務。
3. com.xxx.yyy.NetWorkReceiver
檢查phone_start中的started標誌，以判斷MyService服務是否啟動。如果沒有，則將其啟動。
4. com.xxx.yyy.CustomBroadCastReceiver
當通話狀態變為空閒（即通話結束），修改phone_start中的started標誌狀態為啟動，並啟動MyService服務。
5. MyService
MyService啟動後，首先嘗試獲取手機的IMEI和IMSI碼。如果獲取失敗，等待6分鐘後再次嘗試。
下一步，查看網絡連接狀態。如果沒有連接，則嘗試打開網絡連接。如果連接失敗，則等待6分鐘後再次嘗試。訪問APN設置中的配置信息，將其與」UNINET」、」UNIWAP」、」cmnet」、」cmwap」進行比較，以判斷連接類型。
下一步，檢查update_flag.xml中oldtime字段保存的樣本上一次與控制服務器通信的時間，如果距離現在已經超過6小時，則搜集本機信息，再次向控制服務器發送數據，並更新oldtime。
惡意行為分析
    該樣本的主要惡意行為圖4所示。其中所有步驟均在後台運行，對用戶不可見。
1、 向控制服務器發送IMEI/IMSI和版本信息
MyService獲取手機中的以下信息：
imei：被感染手機的IMEI碼
imsi：被感染手機的IMSI碼
iversion：樣本版本，默認為1
oversion：被感染的Android系統版本
netway：取值1表示正常訪問，取值0表示使用代理
接下來按下列方式和順序構建一個明文字符串<string>：
<string> = Imei + 「&」 + imsi + 「&」 + netway + 「iversion」 + 「oversion」
用DES算法對上述字符串加密（使用密鑰「48734154」），得到密文字符串<enstring>。然後將密文字符串與控制服務器地址組成一個完整的URL：
http://adrd.taxuan.net/index.aspx?im=<enstring>
最後，向這個URL發送一個HTTP POST請求，從而將加密了的手機IMEI、IMSI碼和版本信息一起發送到控制服務器adrd.taxuan.net。
2、 從控制服務器接收控制指令
樣本接收控制服務器adrd.taxuan.net的應答消息，應答的數據為DES加密的密文，使用密鑰「48734154」解密，然後根據解密所得明文的第二個字符執行下一步操作：
指令0：當前函數將後續字符串返回給調用函數；
指令1：開始執行第3步（連接數據服務器）；
指令2：當前函數將後續字符串返回給調用函數；
指令3：開始執行第8步（連接更新服務器）。
3、 向數據服務器發送IMEI/IMSI
按下列方式和順序構建一個明文字符串<string>：
<string> = Imei + 「&」 + imsi
用DES算法對上述字符串加密（使用密鑰「48734154」），得到密文字符串<enstring>。然後將密文字符串與數據服務器地址組成一個完整的URL：
http://adrd.xiaxiab.com/pic.aspx?im=<enstring>
最後，向這個URL發送一個HTTP POST請求，從而將手機IMEI、IMSI碼發送到數據服務器adrd.xiaxiab.com。
4、 從數據服務器接收URL列表
樣本接收數據服務器adrd.xiaxiab.com的應答消息，應答的數據為DES加密的密文，使用「48734154」解密，得到如下明文（中間部分省略）：
B#1#963a_w1|http://59.173.12.105/g/g.ashx?w=963a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#961a_w1|
http://59.173.12.105/g/g.ashx?w=961a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#964a_w1|
http://59.173.12.105/g/g.ashx?w=964a_w1|1|
…………
http://59.173.12.105/add/pk.aspx$B#1#961a_w1|http://59.173.12.105/g/g.ashx?w=961a_w1|1|
http://59.173.12.105/add/pk.aspx$
需要指出的是，獲取的這30條記錄在多次分析中均保持穩定，與發送到數據服務器的IMEI、IMSI碼無關。
其中，我們將字符串gwurl稱之為關鍵詞服務器URL。關鍵詞服務器的IP地址為59.173.12.102，在這30條記錄中，服務器網址還以g.gxsmy.com的形式出現。
5、 多次訪問關鍵詞服務器
解析了30條記錄後，樣本獲得30個不同的關鍵詞服務器URL。接下來，它以1秒一次的頻率依次訪問這些URL（在HTTP請求中，refer字段被設置為記錄中的prul值）。
6、 獲得關鍵詞和搜索鏈接
關鍵詞服務器g.gxsmy.com返回給樣本的數據具有如下形式：
1|http://wap.baidu.com/s?word=%e8%9d%8e%e5%ad%90&vit=uni&from=963a_w1
以「|」為分隔符，其中第二部分為搜索鏈接。這一鏈接指向百度WAP版的一個搜索結果頁面。
在上述示例中，「%e8%9d%8e%e5%ad%90」是一串漢字對應的Unicode編碼，也就是wap.baidu.com的搜索關鍵詞。在分析中，相同的關鍵詞服務器URL訪問將返回不同的關鍵詞，並且這些關鍵詞之間沒有顯著的相關性。我們認為，這一關鍵詞是由關鍵詞服務器隨機生成。
我們還注意到，在搜索鏈接中，出現了一個參數from，其值始終與對應關鍵詞服務器URL中的w參數相同。例如，這裡的963a_w1（標識）就出現在上一節的示例之中。
另一方面，第4步獲得的30個URL分別對應於30個標識，對這30個標識，關鍵詞服務器將返回搜索鏈接；而對其他標識，關鍵詞服務器返回結果為空。
因此，關鍵詞服務器維護了這30個標識的列表，並對訪問請求做校驗。這一在主要攻擊流程中始終保持不變的標識信息具有重要含義。
7、 訪問搜索鏈接
最後，樣本將在系統後台訪問搜索鏈接，下載該頁面，從而造成大量的網絡數據流量，而攻擊者將得到一次對該鏈接的「點擊」。
    當樣本將30個URL以每秒一個的頻率依次完成5、6、7三步，則此次與控制服務器的交互最終完成。相關線程退出，樣本將等待6小時候後再次與控制服務器建立連接。
8、 連接更新服務器
    當第2步由控制服務器發回的指令為3時，樣本跳轉到這一步執行。它將訪問一個用於更新的URL，該URL的值在指令之後附帶。
在分析過程中，控制服務器始終沒有發回指令3，因此無法得知更新服務器的地址。我們認為這是樣本的一種預留升級措施，目前尚未啟用。
9、 下載更新安裝包
    樣本訪問更新服務器後，下載一個.apk安裝文件，將其重命名為myupdate.apk，並保存在被感染手機SD卡的\sdcard\uc\目錄下。此外，樣本將在update_flag.xml中添加is_new屬性。
我們對樣本的分析中，沒有發現安裝這個.apk文件的有關代碼。

六、 總結

    近年來，Android系統在智慧手機市場佔有率飛速增長，同時也成為新的熱門攻擊對象。手機終端的安全威脅日益嚴重，手機病毒的傳播方式和獲利方式已經呈現出多樣化趨勢，惡意行為的隱蔽性也不斷提高。

    另一方面，根據2010年10月中國科學院心理研究所的《智慧手機用戶對手機安全威脅的感知與應對行為》調研結果，有超過10%的用戶不知道手機病毒的存在、超過三成用戶對手機病毒完全未感到擔憂。這為手機病毒的傳播和攻擊提供了很好的環境。統計顯示，自1月27日首次出現至今，ADRD木馬已經在國內大範圍傳播，輻射範圍達百萬用戶。

    目前，國內存在多家第三方Android應用市場和大量手機論壇，它們在為用戶提供便捷服務的同時，也埋下了巨大的安全隱患。此次ADRD木馬以及不久前的Geinimi木馬，均主要通過論壇和下載站傳播。因此，Android 台灣中文網建議用戶僅從官方站點或可信任的應用市場下載手機軟體，以避免受到手機病毒的危害。

    此外，安裝軟體時，用戶還應注意其申請的權限，如果有明顯不合理的權限要求，應予以謹慎對待。例如，壁紙類軟體正常情況下不需要任何特殊的系統權限，如果有訪問手機信息、訪問網絡的要求，就應拒絕安裝。