恶意木马远控Android手机

本文主要介绍几个业界主流的Android手机远程控制木马套件的使用方式 ，这种攻击行为属于c&c的一种，又名命令与控制。之前我在做这方面的检测算法模型的时候，主要覆盖的场景是被攻击端为windows与linux系统，那么随着5G时代的到来，手机与车机的使用场景也会显著增多，安全保障必然尤为重要。

介入正题，我们首先介绍这5种病毒家族的名称：DroidJack，Spynote，AndroRat，AhMyth，FatRat（感兴趣的同学可以自行去下载，或者联系小编分享）。这5种远控木马中前4个的c&c端是windows平台，也就是说攻击者使用的是windows操作系统，FatRat是搭建在Linux操作系统中，kali默认是没有安装的，需要手动安装。这里最主流的应该是Spynote了，功能强大，性能稳定，其余的也可以作为正常攻击使用。模拟攻击的过程中，我们使用andorid模拟器作为被控端，可能与正常的物理机的性能有差别，但是根据c&c这种攻击行为的特征分析，所产生的攻击流量不会失真。

首先介绍使用FatRat。在shell中输入fatrat后，如下图所示：

我们选择选项1，如图：

这里我们为了创建android远控木马，所以我们选择3。随后我们需要输出自己的（黑客的ip一般是公网ip，这里为了方便演示暂时设置为小网ip）ip以及监听的端口，然后创建的病毒文件名称为FatRat.apk。

下一步选择3：tcp反弹shell的payload。

输入y后，我们的远控木马文件就生成了，文件的格式为apk，也就是android手机中的文件格式。

下一步：在android模拟器中安装恶意apk文件。图中展示的是安装5种远控木马后的手机界面，其中FatRat.apk文件安装后的App名称为MainActivity

接下来我们就开始正式的进行攻击了，我们打开wireshark监控攻击流量，然后在主控端（黑客）启动 Metasploit（如果看官对metasploit不是很了解，可以看一下这篇文章 https://paper.seebug.org/29/）

下面我们开启并监听c&c攻击：

当被攻击者点击启动恶意木马时，c&c攻击会话就建立成功了：

输入help后可以查看到一些攻击的可执行命令

开始渗透攻击。攻击者可以拿到shell遍历查看被攻击者的文件信息，也可以上传其他恶意文件到被攻击者的手机中，或者从被控者的手机中下载重要信息文件（如通话记录，联系人电话本，短信记录、图片等等）：

关于FatRat的攻击流量部分展示如下：

可以看到，部分信息还是进行了加密处理，使用传统特征检测可能不如机器学习算法效果更好。FatRat的相关介绍就到这里，下面我们来看一下windows下的Spynote是如何使用的。

windows下的远控工具更易操作，所以使用频率也比较高。攻击方式与FatRat相似，同样先在攻击端设置监听的ip和端口，然后点击build生成一个病毒文件。

被攻击者启动恶意文件后在攻击端有上线的自动提示，通过邮件可以查询到多种攻击手段：

比如文件的上传和下载就可以通过FileManager控制项进行操作：

同样，黑客可以监听被攻击者的通话录音，shell，手机软件信息等等。

使用Spynote进行远控攻击的流量如下图所示：

最后，剩余的三种远控木马的使用方式与Spynote基本一致，但是产生的流量内容会有一定的区别，本人使用机器学习算法训练的模型已经可以成功检测出上述5种远控攻击的流量。