来自 数据 2021-04-07 00:04 的文章

web防护_简析_双ip可以防流量攻击吗

web防护_简析_双ip可以防流量攻击吗

对威胁研究人员来说,与恶意软件的斗争是永无止境的,在移动恶意软件领域,随着恶意软件作者不断创造新的混淆方式,这场斗争正以加速的速度变得更加复杂。特洛伊木马程序.Dropper.RealShell是一个恶意的APK,它将另一个APK放到Android设备上。它这样做的方式是通过一种有趣的混淆方法来引起我们的注意。特洛伊木马程序.Dropper.RealShell使用存储在Assets文件夹中的多个文件来构建另一个APK。它通过读取Assets文件夹中的文件,然后将它们写入一个扩展名为.lock的文件来实现这一点。lock文件是一个Android随机存取文件,这意味着它能够从一个文件中读取行,然后以随机或手动分配的顺序将它们写入另一个文件。例如,假设我们有一个名为阅读.txt其中有三行文本,防御CC服务器,另一个名为空的文件写入.txt它是一个随机存取文件。如果这三条线阅读.txt冰激凌,我,喜欢那种顺序,你能读懂这些台词阅读.txt然后把它们写进写入.txt以不同的顺序,比如我,比如冰淇淋。资源文件夹中的文件将以手动指定的顺序写入.lock文件。文件写入.lock文件的顺序是通过使用插入代码内复杂算法的十六进制密钥来选择的。使用的十六进制密钥是使用父级恶意应用程序的包名称生成的。用于从包名生成十六进制密钥的函数生成的十六进制键显示在LogCat中 一旦所有内容都写好了,高防cdn不限内容,就会从.lock文件中构建一个新的APK。这种方法会混淆恶意应用程序的意图。不过,新建的APK有点奇怪。它没有运行应用程序所需的清单文件或其他资源。清单文件保存应用程序运行所需的基本信息。资源是应用程序中使用的图像、字符串和库之类的东西。那么,新建的APK是如何做到的呢?它使用manifest文件和来自构建它的父APK的资源,静态资源高防cdn,通过使用一个名为DexClassLoader的Android类来实现,这个类允许在父应用程序中执行未安装的代码。父级APK变成了一个完全不同的应用程序,它有新的代码,但是使用存储在父级APK中的相同资源来执行另一个任务?它构建了另一个包含已知代码的APK风险支付公司Skymobi一个阴暗的短信支付软件包。更具体地说,搭建高防cdn,ddos防御系统部署,它通过使用存储在父APK中的特殊库来实现这一点。库是可共享源代码的容器,可由应用程序执行。通过在这些特殊库中执行代码,它将构建新的风险支付公司Skymobi应用程序。如果你看看其中一个库的十六进制代码,就可以清楚地看到它的字符串中发生了什么:解密.malloc.memset.free.pluginSMS_加密.Java_com_skymobi_pay_common_util_LocalDataDecrpty_加密.strcpy.它是纯文本的,skymobi被解密并复制到自己的APK中。skymobiapk被放到Android设备上名为"RealShell"的文件夹中,这个新的APK完全可以使用它自己的清单文件和所有其他资源来独立运行。  构建新APK并使用父APK中的资源的方式非常有趣。这种方法当然可以用来制造更多有害的apk,而不仅仅是一只幼崽。电脑上的恶意软件多年来一直在使用类似的混淆策略。移动恶意软件中的混淆并不是什么新鲜事,但其策略正变得越来越复杂。这表明,在恶意软件行业,移动设备正变得越来越受关注。随着越来越多的人用平板电脑、智能手机和其他安卓设备取代个人电脑,我们完全预计这种对移动恶意软件进行更复杂混淆的趋势将继续下去。它变得越复杂,对用户的威胁就越大。确保在你的Android设备上安装一个扫描器,比如Malwarebytes反恶意软件Mobile。在外面保持安全!