来自 防护 2022-05-08 13:10 的文章

服务器防护_cdn如何防ddos_怎么办

服务器防护_cdn如何防ddos_怎么办

安卓恶意软件Fobus现在面向美国、德国和西班牙的用户

1月中旬,我们通知您一个名为Fobus的安卓恶意软件数据窃取软件。当时Fobus主要针对东欧和俄罗斯的用户。现在,Fobus还瞄准了我们在美国、英国、德国、西班牙和世界其他国家的用户。

Fobus可能会让其不知情的受害者付出很多钱,因为它发送优质短信,高防cdn无白名单,在受害者不知情的情况下拨打电话,并且可以窃取私人信息。更令人担忧的是,如何设置ddos防御,Fobus还包括可以移除关键设备保护的隐藏功能。该应用程序欺骗用户,让其完全控制设备,这就是这个讨厌的恶意软件真正开始工作的时候。您可以在1月份的上一篇博文中找到更多关于Fobus的技术细节和分析。

今天,我们决定回顾并检查过去六个月从Fobus收集的一些数据。我们毫不惊讶地发现,这个恶意软件家族仍然活跃并在传播,感染了非官方安卓应用商店和恶意网站的不知情访客。

这个恶意软件有趣的部分是使用了服务器端多态性,防御ddos软件,我们怀疑它在一月份就被使用,但无法确认。我们现在已经通过分析数据库中的一些样本确认了服务器端多态性的使用。其中大多数不仅随机生成了软件包名称,而且似乎还随机生成了签名证书。

之前,我们预测,我们可能会看到用户使用此恶意应用程序的次数稳步增长。然而,对结果的回顾超过了我们所有的预测。起初,该恶意软件主要针对俄语国家的移动用户。随着我们的检测变得更加智能,我们发现了Fobus的新突变,我们发现许多其他国家也受到了影响。现在,非网站cc防御,Fobus虽然仍然主要针对东欧和俄罗斯的用户,但也针对我们在美国、德国、英国、西班牙和世界其他国家的用户。

上图显示了每天遇到Fobus的唯一用户(用户ID)的数量。该图还根据用户连接位置报告的国家代码进行地理划分。

各国用户遇到Fobus的次数(截至2015年7月21日):

图中可见两个重大飞跃,标志着发现新版本Fobus和发布保护我们用户的新检测的日子。这三种检测方法在执行任务时似乎特别有效。从图表中可以看出,在俄罗斯以外的国家和英语地区的巨大影响有点令人惊讶。特别是考虑到恶意软件通常只有俄语和英语版本,甚至英语版本也包含一些俄语字符串。似乎作者太懒了,无法正确翻译自己的应用程序…

现在,让我们深入分析。我们将查看用于签署部分Fobus样品的证书。我们已经提到了与为每个受害者生成唯一应用程序相关的问题(服务器端多态性)。这不仅适用于重建、重新打包和混淆应用程序本身的每个实例,还扩展到它们的签名证书。为了支持这一点,我们分析了大约4000个样本和数据,并检查了这些证书的使用情况。我们验证了恶意应用程序的每个构建通常仅由一个用户看到,即使其签名证书可用于对多个应用程序进行签名。实际上,我们所有的样本都非常低,这意味着不同的用户很少多次看到一个应用实例。至于签署证书,我们相信它们正在及时更新。我们可以从我们的统计数据中挑选一些此类证书的例子。

从上面的截图中可以看出,这些证书的日期为2015年5月28日和30日,这些证书在有效期开始时的时间差为分钟,有时甚至是几秒钟。我们还发现一些样本包含随机生成的证书。

以上提供的屏幕截图就是此类随机生成证书的一个示例。

最后,我们鼓励您对手机上安装的应用程序三思而后行。尤其是如果你下载的应用程序来自第三方商店和未知来源。如果你从Google Play商店下载应用程序,服务器防御ddos攻击,你是安全的。需要非标准权限——特别是应用程序正常运行似乎不需要的权限——可能是一个可疑的迹象。您应该对请求设备管理员访问的应用程序非常怀疑,并在下载之前三思而后行。

特别感谢我的同事Ondřej David在这一分析中的合作。