Android操作系统上的Flubot恶意软件分析

随着Android操作系统的进步，智能手机的使用日益增加。随后，有报道称，恶意个人和黑客利用 Android 提供的漏洞来访问用户珍视的数据。例如，此类威胁包括 2021 年针对 Android 设备发布的 Flubot 恶意软件攻击。值得注意的是，该恶意软件针对受害者在其小工具上使用的银行应用程序进行网络攻击。因此，参考对Flubot恶意软件特征和行为的理解，我们的研究重点是网络威胁未来可能的攻击方式。

最初，我们的研究包括对 Hatching Triage 平台免费存储库中发现的三个不同 Flubot 恶意软件样本进行探索性分析。

为了实现这一目标，我们利用Android 虚拟设备(AVD) 作为测试基础，使用 Android 调试桥 (ADB) 进行动态分析，并使用BurpSuite进行动态分析。对于静态分析，借助移动安全框架(MobSF)和字节码查看器对当前样本进行分析，以检查恶意软件样本的源代码。

相信我们的结论可能不完整，我们进一步探索了 Flubot 病毒的操作，发现它会在受害者的设备上传递或放置 dex 文件。这些文件充当恶意软件的框架，其他文件用于增强其功能。例如，Flubot 病毒将自身伪装成在主机设备上传递消息或短信服务 (SMS) 的应用程序。我们还遇到了 Flubot 恶意软件的另一种变体，它利用域生成算法 (DGA) 创建与 C&C 服务器通信的通道。

介绍

随着跨境信息技术的进步和普及，这也带来了网络犯罪的相应增加[。例如，印度尼西亚曾经历过一次未能实施这些改革的例子，目前正在应对其后果。根据最新调查结果，2021 年已报告 60 亿起网络安全事件，其中包含大量恶意软件攻击。恶意软件是一个术语，是主要针对网络犯罪的恶意软件的缩写，可在不同的操作系统中运行，包括 Android、iOS、Windows 和 macOS 。根据给定的参考文献，截至 2021 年 12 月，基于移动设备的黑客攻击的世界纪录为 2, 228, 801 。尤其是Android，拥有100万份拷贝，被公认为最成功的平台之一。根据 Facebook 的 1. 2 60 亿用户统计，他们已被 Android 恶意软件包攻击了 1,451,660 次 。具体而言，Flubot 是 2021 年针对 Android 设备的最新威胁之一，主要源自新西兰、澳大利亚、法国和德国 。另一个信息来源表明，Flubot 的主要动机是在受影响的设备伪装成实际应用程序的过程中窃取信息 。另一个信息来源表明，Flubot 的主要动机是在受影响的设备伪装成实际应用程序的过程中窃取信息 。另一个信息来源表明，Flubot 的主要动机是在受影响的设备伪装成实际应用程序的过程中窃取信息 。

图1：Flubot恶意软件传播方式

恶意软件检测方法

恶意软件的检测方法通常分为两类：虽然软件测试有很多方法，但最常见的两种方法被称为静态和动态分析。

恶意软件样本的静态分析是指在不实际允许代码执行的情况下研究其代码和结构，而动态分析是指在受控上下文中运行实际样本。本质上，静态分析调用签名检测，从而将分析软件的模式与其他臭名昭著的应用程序的数据库进行比较。然而，这种方法有一个弱点，即“坏”代码可能是非结构化的并且难以遵循或“混淆”。 M和P类恶意软件的使用具有在执行其功能的过程中更改其代码的能力，无法通过上述静态分析方法来检测。

另一方面，动态分析通过对相关恶意软件进行运行时分析来调查恶意软件行为，例如病毒进行的 API 调用和系统更改以及注册表更改。虽然动态分析带来了一些好处，但根本的缺点是它需要创建有时间限制的测试环境。

混合分析方法

混合分析是另一种分析类型，它是静态和动态分析的结合，并且比其他两种分析更彻底。 Flubot 是最近在市场上发现的一款 Android 恶意软件，专门针对同名操作系统。为了实现静态分析，我们使用 MobSF — 逆向工程分析、APKtool、Dex2jar 和 JD-GUI 等工具来分析恶意软件签名和行为。至于动态分析，我们可以使用BurpSuite、Android Virtual Device、Android Debug Bridge和Frida等工具与病毒交互，以研究封闭环境中的行为模式。通过这种方式，我们希望定义 Flubot 恶意软件的特征和行为模式，并研究其对 Android 设备的影响。

方法论

因此，我们主动详细检查了 Flubot 恶意软件活动，以深入了解其在系统内的行为和影响。为此，我们参考“虚拟环境”的概念，利用相关软件进行数据提取，这对于确定我们的关键发现至关重要。在这项定性前瞻性研究中，我们使用三个随机选择的样本来检查受 Flubot 恶意软件影响的 APK 应用程序文件进行分析。

图 2：恶意软件分析工具

Flubot 是一种恶意软件或恶意软件，旨在秘密运行，并且很少有记录表明其存在。然而，有一些迹象表明存在，例如不断使用看似虚假的语音邮件应用程序、任何送货服务(例如 FedEx 或 DHL)、自动连续向联系人发送短信以及移动设备设置的其他扭曲。

1. 搭建测试环境

它们将在接下来的部分中讨论，我们在其中描述了所需的工具并创建了用于研究的在线环境。这样做是为了确保网络中恶意程序的污染仅限于网络系统内的单独环境。

2. 混合分析方法

我将这种确定解决方案的方法称为混合分析方法，因为我们同时使用静态和动态分析来完成任务。图2显示了所采用方法的算法。

3. 所用工具分析

· 主机环境：本报告旨在呈现Windows 10操作系统的统计数据和关键特征的分析结果，其中要点包括：

· 虚拟环境： Android Virtual Device (AVD) 是一个 Android 模拟器，用户有机会生活在 Android 世界中并体验其特性和功能，而 Kali Linux 是一个基于 Debian 的 Linux 发行版，专为高级渗透测试和安全分析而设计。

· 静态分析工具：MobSF - 虽然 JD-Gui 无法反汇编代码属性，但 Bytecode Viewer 是检查类和代码属性的优秀工具，并且同时使用这两种工具可以提高效率。

· 动态分析工具：ADB和Frida、BurpSuite

4. 分析的执行

· AVD 配置：Android 作为适合运行 Flubot 恶意软件和创建 AVD 虚拟化引擎的映像而脱颖而出。对于此图像，我们选择了 Google Nexus 中的一个，使用 Android 操作系统版本 8.0 API 26。

· 静态分析

o MobSF：它们通常用于从 APK 样本中提取清单 XML 文件文档，以便分析后者以获取有关恶意软件的意图和权限的信息。

o 字节码查看器：在 Kali Linux 上下载字节码查看器，用于逆向工程并分析 dex 文件中的源代码。

· 动态分析：

o 恶意应用程序的执行：通过用恶意软件样本感染AVD并实时分析其行为，根据在AVD上安装恶意软件的实际样本并跟踪它们在实时模式下执行的情况进行了进一步的实验。

o 监控工具：ADB和Frida用于监控Flubot恶意软件活动; BurpSuite 用于确定引擎是否识别系统调用并分析恶意软件生成的所有网络流量。图 3 概述了我们的恶意软件分析框架的组织结构。

为此，我们发现采用更全面的方法来了解 Flubot 恶意软件的特征、行为以及对正在探索的系统的影响至关重要;在本例中为 Android 操作系统。

图3：恶意软件分析方法

配置和设置

出于拦截和分析的目的，我们在 BurpSuite 上设置了一个代理侦听器，并包含了正确的 AVD 代理。在 AVD 上，使用与 BurpSuite 侦听器中设置相同的代理主机名和端口号手动配置代理设置。然后，需要在 BurpSuite 主机和 AVD 模拟器上安装 BurpSuite 网站上提供的 CA 证书，以创建安全连接。最初完成 BurpSuite 的设置后，就可以捕获 AVD 流量了。

结果与讨论

使用开源情报方法对从孵化分类平台获得的 Flubot 样本进行静态和动态分析的综合研究。 MobSF 应用程序执行的扫描结果如下：安全评分为 48/100，其风险评级估计为中等水平。检查恶意软件样本的妥协指标 (IoC) 后，在基于 Android 的系统上发现了更多痕迹，例如软件包名称或 APK 哈希值。

需要进一步检查的第二种权限源自 XML 形式的 Android Manifest，并确定了 15 种权限，其中包括访问互联网、短信、联系人和电话的权限。一些关键权限包括QUERY_ALL_PACKAGES，它有助于清点设备上已安装的应用程序，以及REQUEST_DELETE_PACKAGES，它允许卸载设备上安装的应用程序。

表 1：从信息管理三个领域(即收集、处理和分发)角度来看的妥协指标。

字符串分析揭示了恶意软件结构中固有的功能信息。其中包括与 C&C 服务器的通信、随机域的生成以及设备上的连接测试。与虚拟场景中的动态分析相关的静态机制显示了恶意软件试图安装其有效负载并进一步克隆真实应用程序(例如消息应用程序)所付出的努力。

表 2：示例中的权限列表

对流量的分析发现了使用域生成算法 (DGA) 创建的与 C&C 域的不频繁连接。据报道，从受感染设备获取的数据包括短信信息和与加密货币使用相关的数据。

结论

对 Flubot 恶意软件样本的观察发现了捕获敏感数据的权限、与域的命令通信以及可能影响加密货币应用程序的可能有效负载。由于它能够潜入计算机系统且不被检测到，因此建议通过谨慎使用互联网来避免该恶意软件。小心不要点击可疑链接或安装任何源自可能受感染的网站或随机电子邮件的应用程序，可以防止 Flubot 恶意软件，因为它主要通过垃圾邮件或网络钓鱼传播，而不是通过 Google Play 等应用市场传播。