SophosLabs于近日揭露一场移动恶意软件的分发活动，该活动试图利用植入的应用推送通知来分发Red Alert木马，具体的方法涉及到将受害者重定向到托管有伪装成知名应用程序的Red Alert木马2.0版本的网页上去。

据SophosLabs介绍，分发该木马家族的组织将Red Alert 2.0伪装成知名的社交媒体或媒体播放器应用程序、系统更新的补丁或VPN客户端应用程序，来诱使受害者下载和安装托管在不安全网站上的木马化的应用程序。

Red Alert 2.0如何实现伪装

SophosLabs指出，恶意网页会被设计成类似于合法应用商店提供文件下载的页面，而伪装的对象都是一些广受欢迎的合法移动应用程序，例如媒体播放器或社交媒体应用程序。随着VPN软件的加入，似乎预示着该组织的目标正在扩大。

上图左侧显示的网页托管在一个看似正常的域free-vpn[.]download。对这个域的调查使Sophos发现了更多的域，虽然它们都已经被攻击者注册，但目前尚未被使用。

正如你所看到的那样，虚假网页使用了与Google Play商店中的合法VPN应用程序（VVPN Proxy Master）相似的配色方案和图标设计，但这个伪装的软件尚没有明确的命名。

除了“Free VPN Master Android”之外，SophosLabs还观察到Red Alert 2.0使用了以下命名来伪装自己：

• Flash Player或Update Flash Player
• Android Update或Android Antivirus
• Chrome Update或Google Update
• Update Google Market
• WhatsApp
• Viber
• OneCoin Wallet
• Pornhub
• Tactic FlashLight或PROFlashLight
• Finanzonline

不知出于什么原因，绝大多数Red Alert 2.0样本都会将自己命名为“Adobe Flash player for Android”，而实际上Adobe公司早在多年前就停止了对此实用程序的支持。根据SophosLabs的追踪日志显示，许多同时进行的Red Alert 2.0分发活动都使用了这个命名，其中许多（但不是全部）都托管在动态DNS域上。

Red Alert 2.0如何执行攻击

一旦安装，恶意应用程序会请求设备管理员权限。

如果获得了设备管理员权限，那么它将能够锁定屏幕、使原来的密码失效以及拒绝通过常规方法对其进行卸载。

在这之后，恶意应用程序会隐蔽地在后台运行，并接收来自攻击者的命令。

第一个命令通常是要求它查找目标设备中的银行列表。每当用户启动银行应用程序时，Red Alert 2.0就会创建一个覆盖层。

确定当前正在运行的应用程序

依靠覆盖机制来窃取信息的银行木马需要知道当前正在运行的应用程序都有哪些，这样做不仅是为了确定哪些应用程序允许它们窃取凭证，还因为它们需要根据目标应用程序来量身创建一个覆盖层，以便能够拦截和窃取用户数据。确定当前正在运行的应用程序是覆盖类恶意软件的一个标志，所以让我们来仔细看看Red Alert 2.0是如何开展这项工作的。

为了防止这种情况发生，Android工程师们会定期发布一些包含漏洞补丁的更新，这些补丁旨在修复那些在未经明确许可的情况下，当前正在运行的应用程序列表就被非法获取的漏洞。随着每一次的Android更新之后，恶意软件的开发者们都会被迫想出新的攻击技巧。

对于Red Alert 2.0而言也不例外，该木马的开发者编写了一个单独的子例程，用于识别操作系统版本并触发恶意进程来确定当前正在运行的都有哪些应用程序，进而确定可攻击的目标应用程序。

首先，恶意进程会使用内置工具箱的命令来确定正在运行的应用程序。如果这些命令不起作用，恶意进程则会尝试使用queryUsageStats：

当恶意进程调用queryUsageStats时，该命令会询问在过去100万毫秒（16分40秒）内所有运行的应用程序列表。

用于存储应用程序数据的字符串资源

Red Alert 2.0会将其数据存储在非典型位置（嵌入在应用程序中的Strings.xml文件内）以获取其关键数据，例如C2地址。

上面屏幕截图中的com.dsufabunfzs.dowiflubs字符串代表的就是这个特定恶意软件的内部名称，在本文的样本中，该字符串会被随机分配。SophosLabs观察到的Red Alert 2.0样本通常有一个像以下这样的随机内部名称。

应用程序的字符串部分包含嵌入明文字符串中的命令和控制IP地址、端口和域名，这些信息是攻击活动的关键。

下面的代码片段揭露了在Red Alert 2.0中使用SQLite数据库命令存储及调用命令和控制地址的位置：

墓地情降是什么

后门命令

Red Alert 2.0的代码还包含了僵尸主机（botmaster）可以发送给bot（“肉鸡”）的嵌入式命令列表。该木马可以执行多种命令，包括在用户不知情的情况下拦截或发送短信、获取受害者电子邮件地址簿的副本和通话记录或短信，甚至是发送电话网络功能代码（也称为作为USSD代码）。

C2和目标银行

如上所述，C2域保存在应用程序的资源中。在应用程序执行期间，Red Alert 2.0会联系C2域以获取进一步的指令。

SophosLabs观察到的大多数网络流量都是HTTP。存储在样本中的C2地址包括IP地址和端口号。到目前为止，SophosLabs测试的所有样本都试图联系端口7878/tcp上的IP地址。

哪里做情降有用

如果主C2域没有响应，bot（“肉鸡”）则会从Twitter帐户获取备用C2域。对代码的静态分析表明，Red Alert 2.0会下载覆盖页面模板，以用于它所针对的任意目标银行。

另外，Red Alert 2.0还会以HTTP POST形式将受感染设备的定期遥测数据发送回其C2服务器。它使用基础Dalvik User-Agent字符串来表示目前所运行设备的基本信息。

HTTP POST数据的内容以json格式表示，都是关于Red Alert 2.0正在运行的设备的遥测数据。

降心阁情降有人做过吗

Red Alert 2.0目前所针对的银行名单包括NatWest、Barclays、Westpac和Citibank。

总结

Red Alert 2.0是一种目前在网络上非常活跃的银行木马，它给Android设备带来了巨大的安全风险。

随着时间的推移，SophosLabs预计这个银行木马家族将通过更加多样化的社会工程来进行分发。好消息是，到目前为止，由Red Alert 2.0伪装成的各种应用程序似乎都无法在合法应用商店中出现。因此，禁用第三方应用程序的安装一直都是一种有效的预防措施。SophosLabs建议用户应该从类似Google Play这样的官方应用商店下载应用程序，并使用来自知名供应商的VPN软件。

SophosLabs已经检测到了该木马家族的所有样本，如Andr/Banker-GWC和Andr/Spybot-A。在实际攻击活动中，这些木马化的应用程序都是通过非官方的网页发布的，并没有出现在任何合法的应用商店上。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。