来自 防护 2022-06-01 21:40 的文章

网站防护_阿里云高防ip30g用完就没了是吗_免费测试

网站防护_阿里云高防ip30g用完就没了是吗_免费测试

愤怒的安卓黑客将Xbot恶意软件隐藏在流行的应用程序图标中

过去几周,Avast移动安全分析师一直关注针对俄罗斯和东欧用户的安卓恶意软件。引起我们兴趣的一个家族是Xbot恶意软件。

Xbot的名称来自样本本身,因为在该恶意软件的所有变体中都发现了字符串Xbot。Xbot使用各种名称和软件包名称,但该字符串在我们分析的每个文件中都有不同程度的混淆,因此我们决定用它来命名恶意软件。

Xbot本身不是一个应用程序,ddos防御香港,但包含在不同的应用程序中。我们没有在谷歌Play上提供的应用程序中发现它,但在俄罗斯当地市场,如上发现了它。东欧用户比西欧和美国用户更多地使用Google Play以外的市场,ddos防御优点,这可能是网络犯罪分子选择这种分销渠道的原因之一。Xbot试图隐藏在看起来像合法应用的应用背后,比如谷歌Play或Opera浏览器。它收集了大量的权限,可以监视用户的短信,而恶意软件也可能在将来监视人们的电话。它还会在用户背后发送优质短信,因此基本上是恶意的。

从2月初开始,我们已经看到了353个独特的文件和2570多个独特的安装GUID。这些数字并不是我们见过的最高数字,但不幸的是,它让我们看到了Android恶意软件和社会工程的潜力。

我们发现一件有趣的事情是,恶意软件作者并不羞于表达他对发现其杰作的防病毒公司的愤怒。有时我们会发现指向恶意软件分析的嵌入消息。这个很结实。看看你是否能找到它://9new StringBuilder("FUCK___AV")。追加("1")。toString();。像这样的消息在恶意软件样本中并不是什么新鲜事,因为像Avast这样的安全公司确实可以从此类恶意软件中削减坏人的收入。

作为反分析保护的一部分,作者试图混淆这些样本,使其更难阅读。但这种保护相当简单,因为它通常包括添加额外的垃圾字符,这些字符在运行时被排除在外,或者添加Proguard,高防cdn网站还会被打吗,这会破坏方法名称和文件结构。

我们分析的示例包含两个不同的包。一个包只包含一个类,它作为一种设置持有者,包含要连接的URL、附加APK名称(可能具有扩展功能)和本地首选项设置。

第二个包包含大部分功能。此软件包向我们展示了此恶意软件的三个不同且重要的功能。

在下一张图片中,您可以看到恶意软件请求的所有权限。

您可以看到恶意软件请求权限以接收已完成的启动,这允许恶意软件在受损设备上持久存在,也就是说,免费高防国外cdn,恶意软件会随着设备的重启而自动重启。

恶意应用会试图隐藏。它使用了一些技巧来欺骗用户运行它。首先,通过分析该系列的样本集,我们能够识别一些知名应用程序图标的滥用,如Android Market、Opera浏览器、Minecraft甚至Google Play。

一旦用户运行应用程序,他会看到一个包含单个字符串的活动——"应用程序成功安装",始终仅使用俄语"Пжжжжааааааааааааааааа1072。谢天谢地,它不像我们几周前写的Fobus系列那么复杂,因此用户可以通过使用标准的Android卸载对话框找到它并将其从设备中删除,但老实说,谁还记得他们安装的所有应用程序?即使你这么做了,地球上还有谁想卸载谷歌游戏、Opera或其他类似的应用程序?;-)

正如我们前面提到的,该恶意软件使用的自我保护机制是对启动器隐藏其图标。这是通过使用PackageManager将componentEnabledSetting设置为DISABLED来实现的。如下图所示,

Xbot恶意软件由作者通过C&C服务器控制。服务器地址可能是随机创建的域,这些C&C服务器允许攻击者命令恶意软件开始监视设备、发送短信并在受影响的设备上下载其他内容。在下一张图片中,您可以看到与C&C服务器的通信使用URL参数发送数据,并使用php脚本进行处理。

根据C&C服务器的回答,防御ddos免费,恶意软件可以采取不同的行动。

其中之一是恶意软件可以将URL内容下载到受影响的设备。此URL从C&C服务器提供给Xbot。

下载内容后,Xbot可以启动此URL。在下一张图片中,您可以看到负责运行upee.apk的代码,该代码可能是通过前一张图片中的代码下载的。

另一种可能的做法是Xbot可以开始监视受感染的设备。它捕获所有收到的短信并搜索其中的关键词。

如果检测到关键词,它可以使用save_message.php脚本将所选短信上传到服务器。

我们已经注意到这种特定恶意软件的一些演变。然而,到目前为止,进化主要是在混淆、重构代码和资源方面。但现在,我们期待着进一步的发展。在分析过程中,我们注意到一个函数目前似乎没有任何用途,但将来可能会被误用。在正确实现后,此功能可用于监听来电。包含类的名称——ICREC——也是一个建议——传入呼叫记录器。但这并不是唯一表明可能会有一些变化的东西,我们还发现用于联系C&C服务器的gettaks.php包含的字段比当前使用的多。

我们遇到的C&C URL示例: