来自 CC防护 2021-05-03 01:06 的文章

香港高防cdn_cdn高防免备案_零误杀

香港高防cdn_cdn高防免备案_零误杀

假冒色情网站服务中文短信木马  我们经常看到Android官方应用商店发布的恶意软件,但大多数恶意软件都是通过Android应用商店直接发布的。最近,我们遇到了一个假冒色情网站,它正在服务一个中文短信木马。百度谷歌{-}搜狗-soso-360-qq.lrh6.com/cdn网站/index.html?l{}=banmeng&uid=3002&t=ar 恶意软件有效载荷。 上面的截图显示了用户接受后下载的恶意APK文件。当用户访问页面并尝试查看视频时,系统会提示他们安装应用程序。用户被社会化改造成相信安装应用程序是观看视频的必要条件,但这样做实际上是在安装恶意应用程序来执行短信欺诈。档案信息:Md5:96CAED56D6735DD14A21A4D504E82C3。名称:GA2161.apk大小:0.9 MB。程序包名称:iickcf.ndakik.feock公司.gcahbp.oefdnc.omenon公司 有趣的是,有效负载文件名是动态生成的,并且会随着每次新下载而改变。这很可能是为了绕过已知恶意应用程序名称的基本黑名单。 更改APK名称 成功感染后,终端用户在其手机上可以看到以下图标:  已安装恶意软件的图标然后,恶意软件声明一个广播接收器,该接收器被注册以拦截用户将来接收到的所有SMS消息。恶意软件会分析接收到的消息,以确定从何处接收到消息。一旦确认发送者的身份,它分析接收到的消息的内容,ddos防御AWS,并将其与某些硬编码的消息字符串进行匹配,如下所示: 接收短信。以下是硬编码的中文消息字符串及其英文翻译列表: 硬编码消息字符串。翻译中文信息串[图片来源:谷歌] 恶意软件作者的意图从这些消息串中很清楚。该应用程序通过购买由攻击者控制的点播视频和高级短信服务,从受感染设备生成欺诈交易。应用程序会生成短消息来启动购买。然后,华为云ddos防御上限,该应用程序会监控收到的短信,以识别购买验证消息,为了完成交易,这些消息必须得到准确响应。当验证消息被截获后,它将被解析并与上图中的硬编码字符串进行匹配,cc攻击防御配置,以确定并提交适当的响应。一旦发生这种情况,交易就完成了,受害者将被他们的移动服务提供商收费。 短信木马诈骗周期 短信发送功能。该恶意软件还利用国际移动用户标识(IMSI)属性来确定设备的位置,以及服务提供商信息,如下所示: 检查IMSI。在成功的SMS send操作之后,应用程序向其命令和控制(C2)服务器msg提交POST请求-网页.pw'在8456号港口。 Post请求。应用程序向指挥控制服务器发送以下信息: 请求后捕获。我们能够观察到恶意软件作者使用的C2服务器面板的某些部分,这是由于缺少应用于特定网页的身份验证。在下面的屏幕截图中可以看到用于管理特洛伊木马的管理面板: C&C面板登录  C&C面板操作它还会将相同的信息发送到IP地址115.28.252.178,这似乎是同一特洛伊木马的备用C2服务器: 入口3 Post请求。然后,苹果6可以防御多少ddos,恶意应用程序发送一个POST请求,检查更新,ddos本地防御,并作为响应,收到一个指向名为"firstpay_v7.0.JAR"的JAR文件的URL,如下所示: Jar文件位置此jar文件包含一个Dex文件,该文件能够在受感染的移动设备上运行,如下所示:敏捷执行。 下面您可以看到手机在发送短信息时显示的警告信息,这可能会导致额外的费用。 金钱警告 结论此恶意软件是Android SMS特洛伊木马家族的又一个新成员。它通过购买色情服务、点播视频和发送高费率短信来欺骗用户。手机短信是Android平台上最常见的欺诈行为。一个简单而有效的防御措施是将应用程序安装限制在信誉良好的应用程序商店,如谷歌(Google)和亚马逊(Amazon)运营的应用程序商店。 病毒与湿婆的研究与分析。Zscaler_媒体_中心2_博客_发布_1-R1