2019年07月又爆發中國監控人民事件,而這種事件在中國顯然已是常態,
本次事件會受到關注的原因是,中國針對進入偏僻的地區的外國遊客強制安裝監控APP後,無意間被外國遊客發現,後來將該被安裝的手機送至國外資安公司進行分析,並有相關樣本(bxaq)流出,所以此次我們就來簡單分析名為「蜂采(bxaq)」的基本行為,作一個初步的技術分析。
其實從各大資訊平台就可以看到有關中國對遊客監控的事件,如inside報導內容(https://www.inside.com.tw/article/16793-chinese-border-guards-surveillance-app),可以看出被安裝的手機會出現一個「蜂采」的圖示。
我們在新聞連結及github上找到有關蜂采(bxaq)的基本介紹,以及apk原始樣本
就讓我們來試著下載回來看看行為有哪些
下載點: 蜂采(bxaq) apk程式 https://github.com/motherboardgithub/bxaq
先將該蜂采(bxaq)apk進行逆向分析後,我們先看一些字串文件(xml)來瞭解可能的行為有哪些
先看strings文件
檔案逆向後路徑:\res\values-zh-rCN\strings.xml
從strings.xml內第1行至第35行左右,可以看出程式安裝後,會做手機的一個基本檢測,而這個檢測的過程包括將手機的通訊錄、聯絡人、通話記錄、簡訊、行事曆等資料都會做一個存取或打包的動作(這部分要看後續的程式碼如何撰寫)。
從strings.xml內第40行至第70行左右,操作該手機的員警,則需先進行身份的認證動作,基本來說所需認證的應為員警的基本個人資料,詳如下圖所示。
其中從strings.xml內第74行特別有趣的事,還有蜂采(bxaq)開發公司的名稱在裡面…
company_name為南京烽火軟件科技有限公司
從strings.xml內第77行,也出現該應用程式(apk)的名稱,app_name=蜂采
從strings.xml內第40行至第70行左右,依文件內容推測,應是中國員警看到手機內可疑的檔案(如相片)作進行的手機截圖動作
最後則是作蜂采程式移除的相關文字
其實從strings.xml的文字描述來看,可確信的部分,有關竊取目標手機的各種資訊,一樣不缺…
接著我們利用線上強大知名的掃瞄工具(virustotal),來針對蜂采作一個掃瞄動作,來看看會跑出什麼樣的結果,是否跟我們初步的結果是否一致或可能挖掘到更多的機密資料。
而經virustotal掃瞄後的結果,有出現fiberhome的文字,再經google比對後,確實為中國公司,登記地也是中國。
virustotal報告來源(蜂采): https://www.virustotal.com/gui/file/dc12d5c78117af8167d8e702dd131f838fe86930187542cf904b2122ba32afd1/detection
接著看蜂采會對手機作哪些權限的存取
不意外的針對目標手機的地址位置、藍牙、相機、wifi、網路、日曆、聯絡人、簡訊(sms)都會做權限上的存取
Permissions
- android.permission.ACCESS_COARSE_LOCATION
- android.permission.BLUETOOTH
- android.permission.BLUETOOTH_ADMIN
- android.permission.CAMERA
- android.permission.CHANGE_WIFI_STATE
- android.permission.INTERNET
- android.permission.READ_CALENDAR
- android.permission.READ_CONTACTS
- android.permission.READ_PHONE_STATE
- android.permission.READ_SMS
國外進階的技術分析報告如下 技術分析報告: https://cure53.de/analysis-report_bxaq.pdf
總結
- 其實從strings.xml文件上的描述和virustotal上兩者比對的結果來看,蜂采(bxaq)存取手機敏感性機密資料確實可以被證實。
- 經簡單分析的結果,且從strings.xml文件和java程式來看,並沒有看到中國的中繼站主機或蒐集資料的主機,但有發現一組內部IP(192.168.X.X)不確定是否有建置內部主機作蒐集個資用。
- 蜂采(bxaq)還有經過RSA加密演算法進行程式加密,所以要看到更詳細的運作流程尚有部分的難度。