来自 网络 2022-05-17 14:40 的文章

免备案高防cdn_高防男士手表推荐_精准

免备案高防cdn_高防男士手表推荐_精准

Android正在呼叫:Walk and Text and be恶意

我们最初的博客关于一个名为"Walk and Text"的IncorporateApps Android应用程序的恶意版本,从合法应用程序的作者/分销商/出版商那里得到了一些非常有争议的评论。因此,我们决定重写帖子,让事情变得更清楚:

我们的一位分析师收到了(来自他们的一位朋友)你在下面看到的短信。我们认为这很有趣,于是决定进行调查。我们在互联网上发现了受感染的"Walk and Text"应用程序(当然不在谷歌官方市场上),并将其撕碎。

我们最初认为它只是一个经典的Android特洛伊木马。由于坏人确实喜欢在盗版应用程序中隐藏病毒/特洛伊木马,这似乎是一个非常合理的解释。该应用程序也有签名,但带有亵渎的签名,因此不可能在合法市场上发布。它做了两件事。首先,它将上述短信发送到用户安卓手机通讯录中的联系人。

其次,它从安卓高防服务器论坛取了个人信息,并将其发送到互联网上的其他地方:

虽然窃取个人信息肯定是特洛伊木马的一个标志,cc攻击防御服务器,但尴尬的SMS却不是。坏人放置的特洛伊木马通常运行安静,因为它们被设计用于在用户不知情的情况下收集信息。向联系人发送这样一条短信会立即告诉用户他们被"抓到"。当然,用户只剩下发送的所有SMS的账单。因此,虽然它是特洛伊木马,但它似乎也是为了惩罚盗版应用程序的用户。

正如您在上面的代码中所看到的,个人信息被发送到一个表面上属于合并应用程序的URL(). 当然,如果一个坏人写了这个恶意软件,他们可以把任何他们想要的URL(包括我们的)放到应用程序中。所以,我们检查了这个URL,发现它可能没有加载任何页面,但也没有404,哪些方法无法防御ddos攻击,所以可能有东西在那里,它可能正在收集个人信息。在创建原始博客条目后,此行为发生了更改,您现在看到的警告页面位于 所以我们试图找出谁是合并应用,并联系他们。最明显的地方是。然而,ddos防御30G多少钱,那个网站只是一个存根,只有几张图片,没有链接,没有文字,百度cdn防御cc,也没有联系方式。然后我们查看Android市场(?pub=Incorporate+Apps)并没有找到联系信息,而只是一个指向存根网站的链接。

接下来,我们检查了的注册,并看到一些危险信号:半匿名,没有电子邮件联系,可能是东欧,但在德国注册,5gddos防御,并通过Tucows注册。虽然这些属性有很多合理的原因,但不幸的是,它也符合坏人注册的特征。

那么,这是什么?是谁发布的?我们看到了三种可能的解释:

当然,无论是这三件事中的任何一件,还是只有作者才能确定的其他事情。

这只是开放Android应用程序市场固有危险的一个例子。虽然用户可以合理地确定通过合法市场分发的Android应用程序是干净的,但用户不应该假设在互联网上其他地方获得的Android应用程序是干净的。当然,在通过官方市场发布的应用程序上也有广泛宣传的特洛伊/病毒行为的例子。