概述

最近在发现某新型Android APP注入工具，原理是通过MSF生成加密反弹Payload然后注入到目标apk里，在目标apk安装完毕运行后可连接到远程C2获取权限，造成较大安全隐患。

长期以来，我们对类似的后门app进行了持续跟踪。例如MSF默认生成的Android apk，也可以实现类似的功能，不过这款工具跟MSF相比，主要有以下几点优势:

1. 原始MSF生成的app程序只在桌面上有一个图标，点击后没有任何app界面。这款工具可以注入各类商业app，实现完全无感知的运行;
2. 原始MSF生成的app程序，安装时手机管家会有安全警示，这款工具注入后的app在安装时，手机管家不会有任何安全提示;

虽然这款工具并不完美，在针对加固类apk、高版本Android支持方面有些缺点，但移动应用领域，利用各种技术进行恶意活动，产生各种恶意加密流量的趋势不可避免，针对这类恶意加密流量的检测需求正在快速增长。

APK注入流程

1. 下载工具包

1. 生成apk

1. 选择MSF的Payload

1. 签名设置、注入生成最终apk和rc文件

测试流程

1. 使用MSFconsole加载handler.rc进行服务端监听

1. 在测试系统下安装apk，在安装的过程中确实没有被手机管家检出

1. 运行app，获取shell

1. meterpreter远程控制

加密流量分析

虽然该工具通过对合法app进行注入，在程序层面绕过终端查杀，但是在流量侧的行为特征依旧难以避免。例如：

1. 单流（单次会话）行为：TLS加密协商行为，如客户端套件顺序、客户端扩展顺序和部分扩展内容、服务端套件等与MSF类似。另外单流载荷与MSF存在较强关联:

1. 多流（多次会话）行为：多流行为特征中又具有密集的保持连接心跳会话，符合MSF反弹Shell的特征：

观成瞰云(ENS)加密流量检测系统针对本次测试产生的加密流量进行检出，综合评分为0.75，威胁标签为MSF。