Rotexy移动木马分析与防御指南<\/h1>

1. Rotexy木马概述<\/h2>
Rotexy是一种结合了银行木马和勒索软件功能的移动恶意软件家族，主要针对Android设备。该木马自2014年10月首次发现以来不断演变，2018年8月至10月期间发起了超过70,000次攻击，主要受害者位于俄罗斯。<\/p>

主要特征：<\/h3>

同时使用三个命令源：Google Cloud Messaging(GCM)、恶意C&C服务器和SMS消息<\/li>
具备银行信息窃取和勒索双重功能<\/li>
以"AvitoPay.apk"等伪装名称传播<\/li>

通过特定算法生成的域名下载(如youla9d6h.tk、prodam8n9.tk等)<\/li> <\/ul>

2. Rotexy进化历史<\/h2>

2014-2015年版本<\/h3>

通过钓鱼短信传播<\/li>
请求设备管理员权限<\/li>
使用JSON纯文本与C&C通信<\/li>
发送设备IMEI信息并接收SMS处理规则<\/li>

注册GCM服务接收命令<\/li> <\/ul>

2015-2016年版本<\/h3>

开始使用AES加密通信数据<\/li>
通过POST请求发送到随机相对地址(0-9999)<\/li>

2016年初版本从assets文件夹提取加密的DEX文件<\/li> <\/ul>

2016年版本<\/h3>

重新使用动态生成的子域名<\/li>

年末版本包含card.html钓鱼页面窃取银行卡信息<\/li> <\/ul>

2017-2018年版本<\/h3>

assets文件夹包含bank.html、update.html和extortionist.html<\/li>
2018年变种使用IP地址联系C&C<\/li>
出现"一次性"域名(.cf、.ga、.gq等顶级域)<\/li>

使用多种混淆方法(垃圾字符串、加密主可执行文件等)<\/li> <\/ul>

3. 最新版(2018)技术分析<\/h2>

启动行为<\/h3>

环境检测<\/strong>：检查是否在模拟器及所在国家\/地区<\/p>

非俄罗斯或模拟器环境显示伪装页面<\/li>
日志中包含俄语记录(含语法错误)<\/li> <\/ul> <\/li>

权限获取<\/strong>：<\/p>

向GCM注册并启动SuperService<\/li>
每秒检查设备管理员权限<\/li>
无权限时循环请求<\/li>
用户尝试撤销权限时关闭屏幕阻止操作<\/li> <\/ul> <\/li>

监控行为<\/strong>：<\/p>

跟踪设备重启<\/li>
被终止时自动重启<\/li>
发送短信时切换静音模式<\/li> <\/ul> <\/li> <\/ol>
C&C通信机制<\/h3>

默认C&C地址<\/strong>：硬编码在代码中<\/li>
通信方式<\/strong>：伪随机生成相对地址发送信息<\/li>
数据存储<\/strong>：本地SQLite数据库存储C&C信息和收集的数据<\/li> <\/ul>
初始通信流程<\/strong>：<\/p>

在管理面板注册<\/li>
接收SMS拦截模板和HTML页面显示文本<\/li>
拦截所有SMS并根据模板处理<\/li> <\/ol>
数据收集<\/strong>：<\/p>

设备信息(型号、号码、运营商、OS版本、IMEI)<\/li>
运行进程和已安装应用列表(用于检测安全\/银行应用)<\/li> <\/ul>
命令列表<\/h3>

命令<\/th> 功能<\/th> <\/tr> <\/thead>

START\/STOP\/RESTART<\/td> 启动\/停止\/重启SuperService<\/td> <\/tr>
URL<\/td> 更新C&C地址<\/td> <\/tr>
MESSAGE<\/td> 发送特定文本的SMS到指定号码<\/td> <\/tr>
UPDATE_PATTERNS<\/td> 在管理面板注册<\/td> <\/tr>
UNBLOCK<\/td> 撤销设备管理员权限<\/td> <\/tr>
UPDATE<\/td> 下载并安装任意APK<\/td> <\/tr>
CONTACTS<\/td> 向所有联系人发送指定文本<\/td> <\/tr>
CONTACTS_PRO<\/td> 向特定联系人发送特定消息<\/td> <\/tr>
PAGE<\/td> 使用指定User-Agent接收URL<\/td> <\/tr>
ALLMSG<\/td> 发送所有收发短信<\/td> <\/tr>
ALLCONTACTS<\/td> 发送所有联系人<\/td> <\/tr>
ONLINE<\/td> 发送当前状态信息<\/td> <\/tr>
NEWMSG<\/td> 写入指定SMS到设备<\/td> <\/tr>
CHANGE_GCM_ID<\/td> 更改GSM ID<\/td> <\/tr>
BLOCKER_BANKING_START<\/td> 显示银行卡钓鱼页面<\/td> <\/tr>
BLOCKER_EXTORTIONIST_START<\/td> 显示勒索页面<\/td> <\/tr>
BLOCKER_UPDATE_START<\/td> 显示伪造更新页面<\/td> <\/tr>
BLOCKER_STOP<\/td> 停止显示所有HTML页面<\/td> <\/tr> <\/tbody> <\/table>
SMS命令<\/h3>

"3458" - 撤销设备管理员权限<\/li>
"hi"\/"ask" - 启用\/禁用移动互联网<\/li>
"privet"\/"ru" - 启用\/禁用Wi-Fi<\/li>
"check" - 发送设备IMEI信息<\/li>
"stop_blocker" - 停止显示HTML页面<\/li>
"393838" - 更改C&C服务器地址<\/li> <\/ul>
HTML攻击页面<\/h3>

伪造更新页面<\/strong>(update.html)<\/p>

长时间遮挡设备屏幕<\/li> <\/ul> <\/li>

勒索页面<\/strong>(extortionist.html)<\/p>

要求支付赎金解锁设备<\/li>
可能包含色情图片(打马赛克)<\/li> <\/ul> <\/li>

银行钓鱼页面<\/strong>(bank.html)<\/p>

模仿合法银行页面<\/li>
使用虚拟键盘伪装安全<\/li>
检查银行卡号后四位(与拦截的银行短信匹配)<\/li>
只接受正确的卡号<\/li> <\/ul> <\/li> <\/ol>
4. 设备解锁方法<\/h2>

基本解锁步骤<\/strong>：<\/p>

发送"SMS 3458"到被感染设备 → 撤销管理员权限<\/li>
发送"stop_blocker" → 停止显示锁定页面<\/li>
如遇循环请求权限，安全模式重启并删除应用<\/li> <\/ul> <\/li>

高级情况处理<\/strong>：<\/p>

先发送"393838" → 将C&C地址改为":\/\/"阻断通信<\/li>
再执行基本解锁步骤<\/li> <\/ul> <\/li> <\/ol>
注意：此方法仅适用于当前版本，未来变种可能更改命令集<\/em><\/p>
5. 攻击地理分布<\/h2>

98%攻击针对俄罗斯用户<\/li>
次要目标：乌克兰、德国、土耳其等<\/li>
界面和文本主要使用俄语<\/li> <\/ul>
6. 防御措施<\/h2>

推荐安全软件<\/strong>：<\/p>

Kaspersky Internet Security for Android<\/li>
Sberbank Online应用<\/li> <\/ul> <\/li>

预防措施<\/strong>：<\/p>

不安装来源不明的APK<\/li>
警惕钓鱼短信<\/li>
谨慎授予设备管理员权限<\/li>
定期检查设备异常行为<\/li> <\/ul> <\/li> <\/ol>
7. IOC(入侵指标)<\/h2>
SHA256哈希样本：<\/h3>
0ca09d4fde9e00c0987de44ae2ad51a01b3c4c2c11606fe8308a083805760ee7 4378f3680ff070a1316663880f47eba54510beaeb2d897e7bbb8d6b45de63f96 76c9d8226ce558c87c81236a9b95112b83c7b546863e29b88fec4dba5c720c0 b7cc2d8d43093c3767c7c73dc2b4daeb96f70a7c455299e0c7824b4210edd638 69b2fd7189395b2f34781b499f5cae10ec86aa7ab373fbdc2a14ec4597d4799b aac216d502233ca0fe51ac2bb64cfaf553d906dc19b7da4c023fec39b000bc0d 7b1ccb5618925c8f0dda8d13efe4a1e1a93d1ceed9e26ec4a388229a28d1f8d5b ba4beb97f5d4ba33162f769f43ec8e7d1ae501acdade792a4a577cd6449e1a84 ba9f4d3f4eba3fa7dce726150fe402e37359a7f36c07f3932a92bd711436f88c e194268bf682d81fc7dc1e437c53c952ffae55a9d15a1fc020f0219527b7c2ec <\/code><\/pre> C&C服务器地址：<\/h3> secondby.ru darkclub.net holerole.org googleapis.link test2016.ru blackstar.pro synchronize.pw lineout.pw sync-weather.pw freedns.website streamout.space sky-sync.pw gms-service.info <\/code><\/pre> 8. 总结<\/h2> Rotexy是一种持续演变的复杂移动威胁，结合了银行信息窃取和勒索双重功能。其多命令源设计(C&C、GCM、SMS)使其具有高度灵活性和隐蔽性。通过分析其历史演变和技术细节，安全团队可以更好地检测和防御此类威胁，而提供的解锁方法则能为受害者提供实际帮助。<\/p>

命令<\/th>	功能<\/th> <\/tr> <\/thead>
START\/STOP\/RESTART<\/td>	启动\/停止\/重启SuperService<\/td> <\/tr>
URL<\/td>	更新C&C地址<\/td> <\/tr>
MESSAGE<\/td>	发送特定文本的SMS到指定号码<\/td> <\/tr>
UPDATE_PATTERNS<\/td>	在管理面板注册<\/td> <\/tr>
UNBLOCK<\/td>	撤销设备管理员权限<\/td> <\/tr>
UPDATE<\/td>	下载并安装任意APK<\/td> <\/tr>
CONTACTS<\/td>	向所有联系人发送指定文本<\/td> <\/tr>
CONTACTS_PRO<\/td>	向特定联系人发送特定消息<\/td> <\/tr>
PAGE<\/td>	使用指定User-Agent接收URL<\/td> <\/tr>
ALLMSG<\/td>	发送所有收发短信<\/td> <\/tr>
ALLCONTACTS<\/td>	发送所有联系人<\/td> <\/tr>
ONLINE<\/td>	发送当前状态信息<\/td> <\/tr>
NEWMSG<\/td>	写入指定SMS到设备<\/td> <\/tr>
CHANGE_GCM_ID<\/td>	更改GSM ID<\/td> <\/tr>
BLOCKER_BANKING_START<\/td>	显示银行卡钓鱼页面<\/td> <\/tr>
BLOCKER_EXTORTIONIST_START<\/td>	显示勒索页面<\/td> <\/tr>
BLOCKER_UPDATE_START<\/td>	显示伪造更新页面<\/td> <\/tr>
BLOCKER_STOP<\/td>	停止显示所有HTML页面<\/td> <\/tr> <\/tbody> <\/table> SMS命令<\/h3> "3458" - 撤销设备管理员权限<\/li> "hi"\/"ask" - 启用\/禁用移动互联网<\/li> "privet"\/"ru" - 启用\/禁用Wi-Fi<\/li> "check" - 发送设备IMEI信息<\/li> "stop_blocker" - 停止显示HTML页面<\/li> "393838" - 更改C&C服务器地址<\/li> <\/ul> HTML攻击页面<\/h3> 伪造更新页面<\/strong>(update.html)<\/p> 长时间遮挡设备屏幕<\/li> <\/ul> <\/li> 勒索页面<\/strong>(extortionist.html)<\/p> 要求支付赎金解锁设备<\/li> 可能包含色情图片(打马赛克)<\/li> <\/ul> <\/li> 银行钓鱼页面<\/strong>(bank.html)<\/p> 模仿合法银行页面<\/li> 使用虚拟键盘伪装安全<\/li> 检查银行卡号后四位(与拦截的银行短信匹配)<\/li> 只接受正确的卡号<\/li> <\/ul> <\/li> <\/ol> 4. 设备解锁方法<\/h2> 基本解锁步骤<\/strong>：<\/p> 发送"SMS 3458"到被感染设备 → 撤销管理员权限<\/li> 发送"stop_blocker" → 停止显示锁定页面<\/li> 如遇循环请求权限，安全模式重启并删除应用<\/li> <\/ul> <\/li> 高级情况处理<\/strong>：<\/p> 先发送"393838" → 将C&C地址改为":\/\/"阻断通信<\/li> 再执行基本解锁步骤<\/li> <\/ul> <\/li> <\/ol> 注意：此方法仅适用于当前版本，未来变种可能更改命令集<\/em><\/p> 5. 攻击地理分布<\/h2> 98%攻击针对俄罗斯用户<\/li> 次要目标：乌克兰、德国、土耳其等<\/li> 界面和文本主要使用俄语<\/li> <\/ul> 6. 防御措施<\/h2> 推荐安全软件<\/strong>：<\/p> Kaspersky Internet Security for Android<\/li> Sberbank Online应用<\/li> <\/ul> <\/li> 预防措施<\/strong>：<\/p> 不安装来源不明的APK<\/li> 警惕钓鱼短信<\/li> 谨慎授予设备管理员权限<\/li> 定期检查设备异常行为<\/li> <\/ul> <\/li> <\/ol> 7. IOC(入侵指标)<\/h2> SHA256哈希样本：<\/h3> 0ca09d4fde9e00c0987de44ae2ad51a01b3c4c2c11606fe8308a083805760ee7 4378f3680ff070a1316663880f47eba54510beaeb2d897e7bbb8d6b45de63f96 76c9d8226ce558c87c81236a9b95112b83c7b546863e29b88fec4dba5c720c0 b7cc2d8d43093c3767c7c73dc2b4daeb96f70a7c455299e0c7824b4210edd638 69b2fd7189395b2f34781b499f5cae10ec86aa7ab373fbdc2a14ec4597d4799b aac216d502233ca0fe51ac2bb64cfaf553d906dc19b7da4c023fec39b000bc0d 7b1ccb5618925c8f0dda8d13efe4a1e1a93d1ceed9e26ec4a388229a28d1f8d5b ba4beb97f5d4ba33162f769f43ec8e7d1ae501acdade792a4a577cd6449e1a84 ba9f4d3f4eba3fa7dce726150fe402e37359a7f36c07f3932a92bd711436f88c e194268bf682d81fc7dc1e437c53c952ffae55a9d15a1fc020f0219527b7c2ec <\/code><\/pre> C&C服务器地址：<\/h3> secondby.ru darkclub.net holerole.org googleapis.link test2016.ru blackstar.pro synchronize.pw lineout.pw sync-weather.pw freedns.website streamout.space sky-sync.pw gms-service.info <\/code><\/pre> 8. 总结<\/h2> Rotexy是一种持续演变的复杂移动威胁，结合了银行信息窃取和勒索双重功能。其多命令源设计(C&C、GCM、SMS)使其具有高度灵活性和隐蔽性。通过分析其历史演变和技术细节，安全团队可以更好地检测和防御此类威胁，而提供的解锁方法则能为受害者提供实际帮助。<\/p>

Rotexy移动木马分析与防御指南<\/h1>

1. Rotexy木马概述<\/h2> Rotexy是一种结合了银行木马和勒索软件功能的移动恶意软件家族，主要针对Android设备。该木马自2014年10月首次发现以来不断演变，2018年8月至10月期间发起了超过70,000次攻击，主要受害者位于俄罗斯。<\/p>

2. Rotexy进化历史<\/h2>

3. 最新版(2018)技术分析<\/h2>

7. IOC(入侵指标)<\/h2>

1. Rotexy木马概述<\/h2>
Rotexy是一种结合了银行木马和勒索软件功能的移动恶意软件家族，主要针对Android设备。该木马自2014年10月首次发现以来不断演变，2018年8月至10月期间发起了超过70,000次攻击，主要受害者位于俄罗斯。<\/p>