Rotexy:兼备银行木马及勒索软件功能的移动木马
字数 2420 2025-08-18 11:35:32

Rotexy移动木马分析与防御指南

1. Rotexy木马概述

Rotexy是一种结合了银行木马和勒索软件功能的移动恶意软件家族,主要针对Android设备。该木马自2014年10月首次发现以来不断演变,2018年8月至10月期间发起了超过70,000次攻击,主要受害者位于俄罗斯。

主要特征:

  • 同时使用三个命令源:Google Cloud Messaging(GCM)、恶意C&C服务器和SMS消息
  • 具备银行信息窃取和勒索双重功能
  • 以"AvitoPay.apk"等伪装名称传播
  • 通过特定算法生成的域名下载(如youla9d6h.tk、prodam8n9.tk等)

2. Rotexy进化历史

2014-2015年版本

  • 通过钓鱼短信传播
  • 请求设备管理员权限
  • 使用JSON纯文本与C&C通信
  • 发送设备IMEI信息并接收SMS处理规则
  • 注册GCM服务接收命令

2015-2016年版本

  • 开始使用AES加密通信数据
  • 通过POST请求发送到随机相对地址(0-9999)
  • 2016年初版本从assets文件夹提取加密的DEX文件

2016年版本

  • 重新使用动态生成的子域名
  • 年末版本包含card.html钓鱼页面窃取银行卡信息

2017-2018年版本

  • assets文件夹包含bank.html、update.html和extortionist.html
  • 2018年变种使用IP地址联系C&C
  • 出现"一次性"域名(.cf、.ga、.gq等顶级域)
  • 使用多种混淆方法(垃圾字符串、加密主可执行文件等)

3. 最新版(2018)技术分析

启动行为

  1. 环境检测:检查是否在模拟器及所在国家/地区

    • 非俄罗斯或模拟器环境显示伪装页面
    • 日志中包含俄语记录(含语法错误)

  2. 权限获取

    • 向GCM注册并启动SuperService
    • 每秒检查设备管理员权限
    • 无权限时循环请求
    • 用户尝试撤销权限时关闭屏幕阻止操作

  3. 监控行为

    • 跟踪设备重启
    • 被终止时自动重启
    • 发送短信时切换静音模式

C&C通信机制

  • 默认C&C地址:硬编码在代码中
  • 通信方式:伪随机生成相对地址发送信息
  • 数据存储:本地SQLite数据库存储C&C信息和收集的数据

初始通信流程

  1. 在管理面板注册
  2. 接收SMS拦截模板和HTML页面显示文本
  3. 拦截所有SMS并根据模板处理

数据收集

  • 设备信息(型号、号码、运营商、OS版本、IMEI)
  • 运行进程和已安装应用列表(用于检测安全/银行应用)

命令列表

命令 功能
START/STOP/RESTART 启动/停止/重启SuperService
URL 更新C&C地址
MESSAGE 发送特定文本的SMS到指定号码
UPDATE_PATTERNS 在管理面板注册
UNBLOCK 撤销设备管理员权限
UPDATE 下载并安装任意APK
CONTACTS 向所有联系人发送指定文本
CONTACTS_PRO 向特定联系人发送特定消息
PAGE 使用指定User-Agent接收URL
ALLMSG 发送所有收发短信
ALLCONTACTS 发送所有联系人
ONLINE 发送当前状态信息
NEWMSG 写入指定SMS到设备
CHANGE_GCM_ID 更改GSM ID
BLOCKER_BANKING_START 显示银行卡钓鱼页面
BLOCKER_EXTORTIONIST_START 显示勒索页面
BLOCKER_UPDATE_START 显示伪造更新页面
BLOCKER_STOP 停止显示所有HTML页面

SMS命令

  • "3458" - 撤销设备管理员权限
  • "hi"/"ask" - 启用/禁用移动互联网
  • "privet"/"ru" - 启用/禁用Wi-Fi
  • "check" - 发送设备IMEI信息
  • "stop_blocker" - 停止显示HTML页面
  • "393838" - 更改C&C服务器地址

HTML攻击页面

  1. 伪造更新页面(update.html)

    • 长时间遮挡设备屏幕

  2. 勒索页面(extortionist.html)

    • 要求支付赎金解锁设备
    • 可能包含色情图片(打马赛克)

  3. 银行钓鱼页面(bank.html)

    • 模仿合法银行页面
    • 使用虚拟键盘伪装安全
    • 检查银行卡号后四位(与拦截的银行短信匹配)
    • 只接受正确的卡号

4. 设备解锁方法

  1. 基本解锁步骤

    • 发送"SMS 3458"到被感染设备 → 撤销管理员权限
    • 发送"stop_blocker" → 停止显示锁定页面
    • 如遇循环请求权限,安全模式重启并删除应用

  2. 高级情况处理

    • 先发送"393838" → 将C&C地址改为"://"阻断通信
    • 再执行基本解锁步骤

注意:此方法仅适用于当前版本,未来变种可能更改命令集

5. 攻击地理分布

  • 98%攻击针对俄罗斯用户
  • 次要目标:乌克兰、德国、土耳其等
  • 界面和文本主要使用俄语

6. 防御措施

  1. 推荐安全软件

    • Kaspersky Internet Security for Android
    • Sberbank Online应用

  2. 预防措施

    • 不安装来源不明的APK
    • 警惕钓鱼短信
    • 谨慎授予设备管理员权限
    • 定期检查设备异常行为

7. IOC(入侵指标)

SHA256哈希样本:

0ca09d4fde9e00c0987de44ae2ad51a01b3c4c2c11606fe8308a083805760ee7
4378f3680ff070a1316663880f47eba54510beaeb2d897e7bbb8d6b45de63f96
76c9d8226ce558c87c81236a9b95112b83c7b546863e29b88fec4dba5c720c0
b7cc2d8d43093c3767c7c73dc2b4daeb96f70a7c455299e0c7824b4210edd638
69b2fd7189395b2f34781b499f5cae10ec86aa7ab373fbdc2a14ec4597d4799b
aac216d502233ca0fe51ac2bb64cfaf553d906dc19b7da4c023fec39b000bc0d
7b1ccb5618925c8f0dda8d13efe4a1e1a93d1ceed9e26ec4a388229a28d1f8d5b
ba4beb97f5d4ba33162f769f43ec8e7d1ae501acdade792a4a577cd6449e1a84
ba9f4d3f4eba3fa7dce726150fe402e37359a7f36c07f3932a92bd711436f88c
e194268bf682d81fc7dc1e437c53c952ffae55a9d15a1fc020f0219527b7c2ec

C&C服务器地址:

secondby.ru
darkclub.net
holerole.org
googleapis.link
test2016.ru
blackstar.pro
synchronize.pw
lineout.pw
sync-weather.pw
freedns.website
streamout.space
sky-sync.pw
gms-service.info

8. 总结

Rotexy是一种持续演变的复杂移动威胁,结合了银行信息窃取和勒索双重功能。其多命令源设计(C&C、GCM、SMS)使其具有高度灵活性和隐蔽性。通过分析其历史演变和技术细节,安全团队可以更好地检测和防御此类威胁,而提供的解锁方法则能为受害者提供实际帮助。

Rotexy移动木马分析与防御指南 1. Rotexy木马概述 Rotexy是一种结合了银行木马和勒索软件功能的移动恶意软件家族,主要针对Android设备。该木马自2014年10月首次发现以来不断演变,2018年8月至10月期间发起了超过70,000次攻击,主要受害者位于俄罗斯。 主要特征: 同时使用三个命令源:Google Cloud Messaging(GCM)、恶意C&C服务器和SMS消息 具备银行信息窃取和勒索双重功能 以"AvitoPay.apk"等伪装名称传播 通过特定算法生成的域名下载(如youla9d6h.tk、prodam8n9.tk等) 2. Rotexy进化历史 2014-2015年版本 通过钓鱼短信传播 请求设备管理员权限 使用JSON纯文本与C&C通信 发送设备IMEI信息并接收SMS处理规则 注册GCM服务接收命令 2015-2016年版本 开始使用AES加密通信数据 通过POST请求发送到随机相对地址(0-9999) 2016年初版本从assets文件夹提取加密的DEX文件 2016年版本 重新使用动态生成的子域名 年末版本包含card.html钓鱼页面窃取银行卡信息 2017-2018年版本 assets文件夹包含bank.html、update.html和extortionist.html 2018年变种使用IP地址联系C&C 出现"一次性"域名(.cf、.ga、.gq等顶级域) 使用多种混淆方法(垃圾字符串、加密主可执行文件等) 3. 最新版(2018)技术分析 启动行为 环境检测 :检查是否在模拟器及所在国家/地区 非俄罗斯或模拟器环境显示伪装页面 日志中包含俄语记录(含语法错误) 权限获取 : 向GCM注册并启动SuperService 每秒检查设备管理员权限 无权限时循环请求 用户尝试撤销权限时关闭屏幕阻止操作 监控行为 : 跟踪设备重启 被终止时自动重启 发送短信时切换静音模式 C&C通信机制 默认C&C地址 :硬编码在代码中 通信方式 :伪随机生成相对地址发送信息 数据存储 :本地SQLite数据库存储C&C信息和收集的数据 初始通信流程 : 在管理面板注册 接收SMS拦截模板和HTML页面显示文本 拦截所有SMS并根据模板处理 数据收集 : 设备信息(型号、号码、运营商、OS版本、IMEI) 运行进程和已安装应用列表(用于检测安全/银行应用) 命令列表 | 命令 | 功能 | |------|------| | START/STOP/RESTART | 启动/停止/重启SuperService | | URL | 更新C&C地址 | | MESSAGE | 发送特定文本的SMS到指定号码 | | UPDATE_ PATTERNS | 在管理面板注册 | | UNBLOCK | 撤销设备管理员权限 | | UPDATE | 下载并安装任意APK | | CONTACTS | 向所有联系人发送指定文本 | | CONTACTS_ PRO | 向特定联系人发送特定消息 | | PAGE | 使用指定User-Agent接收URL | | ALLMSG | 发送所有收发短信 | | ALLCONTACTS | 发送所有联系人 | | ONLINE | 发送当前状态信息 | | NEWMSG | 写入指定SMS到设备 | | CHANGE_ GCM_ ID | 更改GSM ID | | BLOCKER_ BANKING_ START | 显示银行卡钓鱼页面 | | BLOCKER_ EXTORTIONIST_ START | 显示勒索页面 | | BLOCKER_ UPDATE_ START | 显示伪造更新页面 | | BLOCKER_ STOP | 停止显示所有HTML页面 | SMS命令 "3458" - 撤销设备管理员权限 "hi"/"ask" - 启用/禁用移动互联网 "privet"/"ru" - 启用/禁用Wi-Fi "check" - 发送设备IMEI信息 "stop_ blocker" - 停止显示HTML页面 "393838" - 更改C&C服务器地址 HTML攻击页面 伪造更新页面 (update.html) 长时间遮挡设备屏幕 勒索页面 (extortionist.html) 要求支付赎金解锁设备 可能包含色情图片(打马赛克) 银行钓鱼页面 (bank.html) 模仿合法银行页面 使用虚拟键盘伪装安全 检查银行卡号后四位(与拦截的银行短信匹配) 只接受正确的卡号 4. 设备解锁方法 基本解锁步骤 : 发送"SMS 3458"到被感染设备 → 撤销管理员权限 发送"stop_ blocker" → 停止显示锁定页面 如遇循环请求权限,安全模式重启并删除应用 高级情况处理 : 先发送"393838" → 将C&C地址改为"://"阻断通信 再执行基本解锁步骤 注意:此方法仅适用于当前版本,未来变种可能更改命令集 5. 攻击地理分布 98%攻击针对俄罗斯用户 次要目标:乌克兰、德国、土耳其等 界面和文本主要使用俄语 6. 防御措施 推荐安全软件 : Kaspersky Internet Security for Android Sberbank Online应用 预防措施 : 不安装来源不明的APK 警惕钓鱼短信 谨慎授予设备管理员权限 定期检查设备异常行为 7. IOC(入侵指标) SHA256哈希样本: C&C服务器地址: 8. 总结 Rotexy是一种持续演变的复杂移动威胁,结合了银行信息窃取和勒索双重功能。其多命令源设计(C&C、GCM、SMS)使其具有高度灵活性和隐蔽性。通过分析其历史演变和技术细节,安全团队可以更好地检测和防御此类威胁,而提供的解锁方法则能为受害者提供实际帮助。