来自 应用 2022-05-11 21:40 的文章

高防cdn_大陆云盾_秒解封

高防cdn_大陆云盾_秒解封

针对Android的伪造韩国银行应用程序-第2部分

在2月份,我们查看了伪造韩国银行应用程序分析的第一部分以及使用它的Android:Tramp(跟踪我的手机恶意Android应用程序)。在这篇博文中,我们将关注另外两个安卓恶意软件家族,它们据称利用了同一批伪造的韩国银行应用程序。在本文的最后,我们将讨论恶意软件创造者的起源。

搜索银行应用程序包名称的引用很有趣-KR_HNBank、KR_KBank、KR_NHBank、KR_SHBank、KR_WRBank。其中一个引用指向一个名为Android:AgentSpy的恶意应用程序。Symantec、Stripo mobile和Alyac描述了该应用程序的感染载体。我们不会深入研究细节,我们只会提到恶意应用程序是通过ADB.EXE(Android调试桥)推送到连接的手机上的。上传的恶意文件称为AV_cdk.apk.

Android:AgentSpy包含activity Main activity和多个接收器以及服务CoreService.

BootBroadcastReceiver

监视Android.intent.action.BOOT_完成,Android.intent.action.USER_存在,如果收到,则启动CoreService。它还监控添加或删除软件包的尝试-添加了android.intent.action.PACKAGE_和删除了android.intent.action.PACKAGE_。

CoreService

1)定期呼叫总部并报告可用的连接类型(wifi、网络、wap)、IMSI、,已安装的银行应用程序

2)定期轮询C&C并响应以下命令

发送短信-向给定手机号码发送短信

issms-是否窃取收到的短信

iscall-是否阻止呼出电话

联系人-窃取联系信息并上传至C&C

应用程序-已安装银行应用程序列表

changeapp-替换使用假银行应用程序的原始银行应用程序

移动-更改C&C服务器

电话侦听器接收器

监视器新的传出呼叫。如果收到android.intent.action.NEW_OUTGOING_CALL,有关传出呼叫的信息将发送到C&C.

配置类

包含C&C URL、银行包名称(字符串数组bank)、假银行包名称(字符串数组apkNames)。它还包含对conf.ini配置文件的引用。

另外一个使用伪造银行应用程序的Android恶意软件系列称为Android:Telman。与Android:Tramp和Android:AgentSpy类似,它检查上述银行的安装包。如果发现,它们将被伪造的应用程序替换。但是,银行应用程序名称只有一个字母长-N.apk。S.apk,防御cc攻击方法,W.apk,H.apk。与Android:AgentSpy不同,上传的恶意文件名为xox.apk。

Android:Telman包含几个有趣的类、BroadcastReceiver和服务。

BroadcastReceiver监视Android.intent.action.BOOT_完成和Android.intent.action.USER_出现。第一个是"系统完成引导后广播一次",第二个是"设备唤醒后用户在场时"发送。作为对这两个动作的反应,ddos防御服务器,Android:Telman从ClientService发出"cmd_system_init"命令。

ClientService类cmd_system_init-将电话信息上传至C&Ccmd_query_phone_list-上传电话联系人列表cmd_update_phone_number-更新电话号码

此服务还安排了几个计时器任务,可重复12秒。它定期调用上述命令。此外,它调用bankHijak函数,该函数监视最近运行的任务。如果找到常规银行应用程序任务,并且尚未下载假银行应用程序,则会启动BKMain活动。BKMain活动尝试卸载真实的银行应用程序,并将其替换为假应用程序。该任务伴随提示"通知:","新版本已发布。如果伪银行应用程序成功下载,它将尝试通过调用其主活动(名为MainActivity)来启动它。所有泄露的假银行应用程序都有一个名为MainActivity的主要活动,Android:Telman恶意软件从假银行应用程序下载、安装和调用MainActivity活动。

CallService类它注册了一个广播接收器来监控这些动作:android.intent.action.PHONE\u STATE android.intent.action.NEW\u OUTGOING\u CALL。此服务可以修改通话记录并终止呼出电话。

Contacts服务类它通过访问联系人提供商URI读取和解析所有电话联系人content://com.android.contacts/contacts.

ProcessRemoteCmdService类每隔5分钟,它从C&C服务器查询命令。接收到的命令可以将包含给定内容的SMS消息发送到给定的电话号码列表中。

SMSService class它注册了一个广播接收器,用于监视接收到的android.provider.Telephony.SMS_。它将收到的SMS消息上传到C&S服务器。它还解析接收到的消息的内容,并据此执行以下功能之一:

cmd_get_phone_numbercmd\u转发\u电话号码cmd\u更新\u ipcmd\U sms\U截获命令\电话\截获遥控器cmd\U start\U银行cmd_bank_拦截cmd_send_sms

Android:Telman和Android:AgentSpy都有相同的主活动,名为MainActivity,执行相同的操作-它要求用户授予其作为设备管理员运行的权限。它是通过创建一个新的意图操作\添加\设备\管理来完成的。字符串额外添加解释误导用户当前安装的应用程序是谷歌搜索应用程序,该应用程序"提供基于位置的个性化搜索结果"。

下图显示手机用户出现的屏幕。

用户激活设备管理员后,ddos防御免备案,无法像常规(非设备管理员)应用程序那样简单地卸载已安装的应用程序。卸载按钮被禁用,如下图所示。

如果用户想要卸载应用程序,他首先需要将其从设备管理应用程序中删除,然后卸载。