Android木马HongTouTou（又名ADRD）分析报告

、 基本信息

病毒名称：Trojan/Android.Adrd.a[Clicker]
病毒别名：HongTouTou、ADRD
病毒类型：木马
样本MD5：A84997B0D220E6A63E2943DA64FFA38C
样本CRC32：A42850DE
样本长度：1,316,981 字节
原始文件名：Newfpwap_com_liveprintslivewallpaper.apk
出现时间：2011.01.27
感染系统：Android 2.0及以上

二、 概述

ADRD木马（又名HongTouTou木马）被植入十余款合法软件中（图1），通过多家论坛、下载站点分发下载实现大范围传播。其主要行为包括：开启多项系统服务；每6小时向控制服务器发送被感染手机的IMEI、IMSI、版本等信息；接收控制服务器传回的指令；从数据服务器取回30个URL；依次访问这些URL，得到30个搜索引擎结果链接；在后台逐一访问这些链接；下载一个.apk安装文件到SD卡指定目录。感染该木马的手机将产生大量网络数据流量，从而被收取流量费用。攻击者通过增加搜索链接的访问量而获益。用户可以下载安天提供的Android恶意代码专杀工具AVL PK for Android检测手机是否感染这一木马，并卸载相应软件将其清除。

图1 正常软件与被植入木马的软件

三、 样本特征

截止本分析报告发布，安天已经检测到ADRD木马（又名HongTouTou木马）被植入到下列Android软件：

本报告涉及的样本中，ADRD木马被植入一款名为“动态脚印动态壁纸”（英文名“Live Prints Live Wallpaper”）的软件之中，于1月27日出现在国内所有主流手机论坛之中。被植入软件包括两部分：

1. 正常程序liveprints：
1） 服务LivePrints：android.service.wallpaper.WallpaperService
2） Activity：.LivePrintsSettings
2. 恶意代码com.xxx.yyy：
1） 接收器com.xxx.yyy.MyBoolService，用于启动（android.intent.action.BOOT_COMPLETED）
2） 接收器com.xxx.yyy.MyAlarmReceiver，自定义行为（com.lz.myservicestart）
3） 接收器com.xxx.yyy.NetWorkReceiver，响应网络状态变化（android.net.conn.CONNECTIVITY_CHANGE）
4） 接收器com.xxx.yyy.CustomBroadCastReceiver，响应电话状态（android.intent.action.PHONE_STATE）
5） 服务 com.xxx.yyy.MyService
样本需要获取系统的以下权限（图2）：

图2 样本需要多项系统权限

特征字符串包括：
?im=
?im=

imeiimsi
myupdate.apk
UNINET
UNIWAP
cmnet
cmwap
四、 行为分析 接收器行为分析
1. com.xxx.yyy.MyBoolService
木马通过这一接收器实现随系统开机而启动，然后发送com.lz.myservicestart广播消息，并设置一个2分钟后激活的Alarm。
2. com.xxx.yyy.MyAlarmReceiver
接收到com.lz.myservicestart广播后，启动MyService服务。
3. com.xxx.yyy.NetWorkReceiver
检查phone_start中的started标志，以判断MyService服务是否启动。如果没有，则将其启动。
4. com.xxx.yyy.CustomBroadCastReceiver
当通话状态变为空闲（即通话结束），修改phone_start中的started标志状态为启动，并启动MyService服务。
5. MyService
MyService启动后，首先尝试获取手机的IMEI和IMSI码。如果获取失败，等待6分钟后再次尝试。
下一步，查看网络连接状态。如果没有连接，则尝试打开网络连接。如果连接失败，则等待6分钟后再次尝试。访问APN设置中的配置信息，将其与”UNINET”、”UNIWAP”、”cmnet”、”cmwap”进行比较，以判断连接类型。
下一步，检查update_flag.xml中oldtime字段保存的样本上一次与控制服务器通信的时间，如果距离现在已经超过6小时，则搜集本机信息，再次向控制服务器发送数据，并更新oldtime（图3）。

图3 样本每6小时向控制服务器发起连接

恶意行为分析
该样本的主要恶意行为图4所示。其中所有步骤均在后台运行，对用户不可见。

图4 主要恶意行为示意图

1、 向控制服务器发送IMEI/IMSI和版本信息
MyService获取手机中的以下信息（图5）： netway：取值1表示正常访问，取值0表示使用代理

图5 获取IMEI和IMSI码

接下来按下列方式和顺序构建一个明文字符串<string>：
<string> = Imei + “&” + imsi + “&” + netway + “iversion” + “oversion”
用DES算法对上述字符串加密（使用密钥“48734154”），得到密文字符串<enstring>。然后将密文字符串与控制服务器地址组成一个完整的URL：
?im=<enstring>
最后，向这个URL发送一个HTTP POST请求，从而将加密了的手机IMEI、IMSI码和版本信息一起发送到控制服务器adrd.taxuan.net。
2、 从控制服务器接收控制指令
样本接收控制服务器adrd.taxuan.net的应答消息，应答的数据为DES加密的密文，使用密钥“48734154”解密，然后根据解密所得明文的第二个字符执行下一步操作：
指令0：当前函数将后续字符串返回给调用函数；
指令1：开始执行第3步（连接数据服务器）；
指令2：当前函数将后续字符串返回给调用函数；
指令3：开始执行第8步（连接更新服务器）。
3、 向数据服务器发送IMEI/IMSI
按下列方式和顺序构建一个明文字符串<string>：
<string> = Imei + “&” + imsi
用DES算法对上述字符串加密（使用密钥“48734154”），得到密文字符串<enstring>。然后将密文字符串与数据服务器地址组成一个完整的URL：
?im=<enstring>
最后，向这个URL发送一个HTTP POST请求，从而将手机IMEI、IMSI码发送到数据服务器adrd.xiaxiab.com。
4、 从数据服务器接收URL列表
样本接收数据服务器adrd.xiaxiab.com的应答消息，应答的数据为DES加密的密文，使用“48734154”解密，得到如下明文（中间部分省略）：