来自 数据 2022-05-05 11:20 的文章

cdn防护_ddos防护服务器_方法

cdn防护_ddos防护服务器_方法

通过安装一个新发现的恶意软件,您可以在您的设备上下载多个Twitter正版应用程序实例,而且价格低廉。

您是否拥有多个Twitter或WhatsApp帐户?如果回答是,是否要同时登录到这些多个帐户?到目前为止,一次登录多个社交媒体帐户只能使用多个移动设备。双实例技术允许您同时运行移动应用程序的多个实例。正如我们所知,恶意软件作者永远不会花很长时间了解新的趋势,因此网络犯罪分子最近开始自行创建双实例应用程序的恶意版本。

假设您在移动设备上安装了原始Twitter应用程序,则不可能再安装另一个Twitter,除非它是伪造的。然而,如果你安装了一个新发现的恶意软件,你就可以在你的设备上下载另一个Twitter正版应用程序的原始实例。因此,您可以使用其他帐户登录。然而,与所有恶意软件一样,这是有代价的。

这个恶意软件,从现在起我们称之为双实例恶意软件,是从云盾网的一个在线聊天组捕获的。由于一些特殊政策,包括Twitter在内的一些外国网站无法在云盾网大陆直接访问。然而,由于此类请求确实不时出现,该恶意软件的作者想出了一个主意,开发一个"修改的"——不是原始应用程序,也不是非法版本——Twitter应用程序,允许用户在没有任何特殊配置(如VPN)的情况下登录Twitter。

如上所述,双实例使用户可以登录并在同一设备上运行多个移动应用程序实例。虽然可以在应用商店中找到合法的双实例应用程序,但也有恶意应用程序提供相同的服务,并在这样做时窃取用户凭据。顾名思义,双实例恶意软件使用该技术在您的设备上实现上述修改版Twitter。双实例是另一种沙箱或虚拟化——它模拟Android系统框架中启动应用程序所需的最重要组件。在使用沙箱启动应用程序时,它会接管启动新应用程序进程的大部分工作。结果,一个新的例子变成了现实。让我们更深入地了解一下这个恶意软件,看看是什么让它起作用。

首先,Cc防御有必要吗,双实例恶意软件伪造的证书与Twitter上的真实证书一模一样。

Twitter应用程序的合法证书也列在下面。

乍一看,很难看出这两个软件之间的显著差异,是吗?

为了运行原始Twitter,该恶意软件将包隐藏在其资产目录中。

有趣的是,为了欺骗用户,该恶意软件将com.twittre.android作为其包名,而合法的包名应该是com.Twitter.android。正如您所见,区别在于单词"twitter"中最后两个字母的顺序。

在双实例恶意软件启动期间,首先提取data.apk,然后加载。从我们的分析中,我们发现该恶意软件带来了GitHub的开源解决方案。下面是加载数据过程的代码摘录。apk.

VirtualCore是一个开发框架,可以从高层角度将其视为一种工具。VirtualCore允许您运行作为上级"父"应用程序一部分的嵌入式"子"应用程序,而无需将其安装在设备上。根据VirtualCore中的这些重要变量,我们跟踪了开源项目VirtualApp,该项目提供了一种无需安装即可直接运行应用程序的解决方案。在将该恶意软件的相关逻辑与VirtualApp的源代码进行比较后,我们确信该恶意软件利用VirtualApp启动了原始Twitter。VirtualApp的GitHub地址是https://github.com/asLody/VirtualApp

"VirtualApp是Android的开放平台,允许您创建虚拟空间,您可以在其中安装和运行apk。除此之外,VirtualApp还是一个插件框架,在VirtualApp上运行的插件不需要任何约束。VirtualApp不需要root,它在本地进程上运行。"

在深入分析该恶意软件的VirtualCore模块后,ddos防御防护设备,我们看到VirtualCore中添加了一些修改。初始化步骤中插入了一个线程调用:

当深入研究该线程时,我们发现了一些更有趣的发现。该恶意软件的真正目的是窃取用户的Twitter帐户凭据。它钩住EditText类的getText函数来劫持用户的输入。

首先,恶意软件通过反射获得源方法和目标方法

然后,它钩住。

另一个有趣的发现是,双实例恶意软件使用AndFix来处理Java方法钩子。AndFix是GitHub中托管的另一个开源项目,但它的目标是使Android应用程序支持热修复。在这种情况下,热修复函数主要依赖于Java方法钩子。双实例恶意软件非常了解这一理论并将其发扬光大。它使用AndFix的钩子模块劫持Twitter登录窗口的EditText组件。下面是连接getText函数后的代码摘录。

由于在许多情况下调用getText函数,ddos的防御带宽,恶意软件只需确保注意连接到帐户凭据的调用即可。因此,它遍历堆栈跟踪以检查上下调用。然后它可以获取用户Twitter帐户的输入。