近日，國外某安全公司發(fā)現一種新型銀行木馬病毒MySteryBot Android，該病毒為銀行木馬LokiBot  Android的變種， 其惡意行為除了利用銀行木馬竊取金融信息外，還包括惡意監(jiān)視鍵盤、植入勒索軟件進行勒索操作。經分析發(fā)現該木馬病毒已適配Android7.0和Android 8.0，一旦被惡意傳播，Android7.0和Android 8.0的所有設備均有被感染的可能。鑒于此，通付盾移動安全實驗室對MySteryBot Android病毒進行了深入分析，以下為詳細分析內容。 
一、樣本信息
程序名稱 ：MysteryBot
MD5: 9eeeaa4f33ed24b33cd40a21637734bc9b4caeb2
病毒名稱：install.apps
應用圖標：

惡意行為描述：該程序中包含惡意代碼，通過偽裝成android flash，誘導用戶下載，從而提高裝機量。安裝后惡意獲取設備管理員權限，用戶無法正常卸載，在后臺持續(xù)運行；私自將用戶聯系人、短信等隱私信息上傳到遠程服務端；監(jiān)聽用戶鍵盤，執(zhí)行勒索操作，具有私自發(fā)送短信、撥打電話等惡意扣費行為。
典型樣本信息如下：
SHA256 
程序名 
包名 
62a09c4994f11ffd61b7be99dd0ff1c64097c4ca5806c5eca73c57cb3a1bc36a
Adobe Flash Player
install.apps 
334f1efd0b347d54a418d1724d51f8451b7d0bebbd05f648383d05c00726a7ae
Adobe Flash Player
install.apps 
0963bc9fbb6747e9475c94bb0387b7f4e444ff557dcd0fc81822dce7fab4c3e9
Adobe Flash Player
dddddddd.ssssss.hhhhhh.ggggggggg
該木馬病毒首先在AndroidManifest.xml文件中病毒申請了一系列與惡意行為密切相關的權限：

此外還注冊了各種receiver用來監(jiān)聽系統(tǒng)消息：

深入分析完成開發(fā)的Boot、SmsBroadcast、Scrynlock，其中Boot主要用來在屏幕未喚醒的情況下繼續(xù)運行，如果CommandService沒有啟動，則啟動CommandService之后屏幕變亮；SmsBroadcast中，當有android.provider.Telephony.SMS_RECEIVED意圖時候，最終按照{ “action”: “log”, “params”: {“imei”: “%s”,”type”:”sms”,”text”: “%s: %s”}}的格式將Android設備ID、短信來源、短信內容格式化， 并base64編碼，最后組成http://89.42.211.24/site/gate.php?i=base64字符串 這樣的格式，連接遠程服務器，同時喚醒屏幕;Scrynlock實現了一個Admin的設備管理，同時會用webview加載這個 http://89.42.211.24/site/inj/test/?p=imei，并向/storage/sdcard0/sslocks.txt文件中寫入+1，其次該病毒還對Home健監(jiān)聽和通過對手勢進行判斷執(zhí)行觸屏按鍵監(jiān)聽，該組件目前處于正在開發(fā)階段，暫未工作。
其中SmsBroadcast的關鍵代碼如下：

三、惡意行為分析
該木馬的核心類是CommandService.class、install.apps.c.class、install.apps.Cripts$mainActivity、install.apps.g.class,通過對這四個核心類分析后，獲得該木馬的核心惡意行為。該木馬的整體惡意流程如下圖所示：

Step1 : 成為Admin的設備管理者和完成自我隱藏

Step2：后臺運行的CommandService,上傳數據和設置Boot.class用來監(jiān)督CommandService是否成功運行，沒有則再次啟動。

設置定時器為5s，然后重復執(zhí)行這些惡意代碼

判斷/mnt/sdcard/是否存在sslocks.txt

判斷/mnt/sdcard/是否存在dblocks.txt

Step3：install.apps.Cripts$mainActivity，主要是勒索部分，暫時還沒有明確的勒索付費方式。
將聯系人和文件壓縮在zip包中，并沒有將其加密。
其次是上傳隱私信息到服務器

勒索的HTML頁面信息

按鍵手勢和Home鍵監(jiān)聽廣播

Step4：install.app.g主要用來上傳用戶隱私信息與遠控端通信

與遠控端通信，遠控端發(fā)出action指令后，該木馬進行執(zhí)行，主要是上傳用戶聯系人、發(fā)短信、打電話、上傳鍵盤日志等隱私信息。

四、 影響范圍
通信的IP地址可以看出來，該木馬面向的銀行主要是中東和歐洲銀行。目前國內相關機構，暫未發(fā)現該木馬的行蹤，我們會持續(xù)追蹤其動態(tài)。木馬運行如下：

分析總結
該木馬建立起了一套完整的遠程控制體系，涵蓋了各種遠程控制惡意行為，包括對各種設備硬件信息采集、短信監(jiān)控，以及鍵盤監(jiān)聽等等，極大程度上侵犯了用戶的個人隱私信息安全，具有非常強的危害性。
通付盾移動安全實驗室已實現對該類病毒的檢測查殺，同時相關移動應用檢測類產品也已具備對該類惡意應用的檢出能力。
通付盾移動安全實驗室目前已實現對該類病毒的檢測查殺，同時相關移動應用檢測類產品也已具備對該類惡意應用的檢出能力。