来自 CC防护 2022-06-02 02:10 的文章

云盾高防采集_山东高防服务器_无限

云盾高防采集_山东高防服务器_无限

Fobus,一个偷偷摸摸的小偷,2014年可能会

手机恶意软件数量大幅上升,意义重大。影响我们用户的家庭之一是恶意软件Fobus,也称为Podec。这个恶意软件或多或少是一个有用的应用程序,但肯定不是用户所期望的。此恶意软件通常有两种语言版本,英语和俄语,应用程序似乎是自动生成的。

从清单中的权限可以看出,一旦受害者的设备上安装了Fobus,它就不能只发送短信和呼叫高级号码,这可能会花很多钱,但它也可以充当间谍软件,可以从受感染的设备上窃取个人数据。在一个小应用程序中包含了很多不好的东西。

接下来是一些技术性的东西。如果你真的很渴望,请跳到"我认为有什么地方不对劲"部分,看看它是如何工作的。

检查清单文件提供了自动修改应用程序文件的线索。如下图所示,服务名称是随机生成的。通过我们数据库中的样本,我们发现了一些相似之处,这有助于我们将该恶意软件归类为Fobus系列。

清单中还包括几个接收器,这些接收器表明该恶意软件能够监视该设备。它还可以保护自己不被卸载。

此接收器提供Fobus持久性。

这些接收器能够检查呼出的电话和收到的短信。

此处所示的接收器有助于保护恶意软件不被删除。

在安装过程中,Fobus权限已经显示出可能有问题。但是,我们都知道,大多数人都会不假思索地完成这一步。

Fobus假装是广告块,高防cdn代理,但广告块应用程序和大多数合法应用程序都不需要拨打电话、发送消息、系统工具和付费服务的权限。也就是说,除非你希望它能阻止未经请求的电话和营销SMS。我们的建议:当应用程序需要这些类型的权限时,用户应该始终非常小心,linuxcc防御,并尝试将它们链接到预期的应用程序功能。权限要求不充分通常是可疑的第一个指标。

当用户接受所有这些权限时,Fobus会像任何其他应用程序一样安装。

然而,真正的问题是,当用户运行此应用程序并授予Fobus设备管理员权限时开始。

一旦用户激活设备管理员,应用程序图标将从设备中消失。

但事实上,Fobus仍在设备中,并开始执行其构建目的-监视设备!用户无法通过标准方式停止或卸载此应用程序。为什么?因为他们在以前接受的设备管理员策略中允许应用程序执行所有这些操作!

好的,只需停用设备管理员并卸载此应用程序。。。这应该没那么难吧?但事实的确如此!该应用程序在设备管理员中以及停用按钮中很容易看到。那么问题出在哪里?

鬼鬼祟祟的Fobus有一个接收器,可以根据设备管理禁用请求检查呼叫。当用户尝试停用设备管理员时,此接收器会捕获请求并通过调用lock Now(立即锁定)功能强制设备锁定屏幕。此功能可防止用户确认停用。

之后,应用程序尝试使用任何解锁尝试重新锁定屏幕。在应用程序强制锁定屏幕之前,确认框仅可见一小会儿,但是用户将永远无法及时确认,因为设备无法捕获用户点击屏幕。屏幕锁定通常会持续一段时间,直到确认框消失。有时,用户需要按下设备上的一个硬件按钮来激活屏幕。当他们最终设法解锁设备时,应用程序仍在那里并愉快地运行。到目前为止,安装这个鬼鬼祟祟的小偷的人并不是一个快乐的露营者。

如果用户有闪电般的快速反应并能够通过锁定屏幕机制,作者还有另一个窍门。这一次,centoscc防御,他们试图通过威胁执行完全工厂重置来吓唬用户禁用设备管理员权限。

Fobus向用户显示关于完全工厂重置的虚假警告,在此期间,用户将丢失其设备上存储的所有数据。"天哪,不,大多数用户在选择"取消"按钮时会说。但当用户勇敢地按下"确定"按钮时,设备管理员权限将被成功删除,用户还可以从移动设备上卸载恶意应用程序。

这是一种非常强大的卸载防护,不是吗?

绕过这种防护可能非常困难,尤其是,因为应用程序无法通过任何其他方式(如ADB或安全模式)卸载。在ADB中,卸载操作以失败结束,即使安全模式禁用用户安装的应用程序,在这种情况下,恶意应用程序仍然受到设备管理员权限的保护,因此无法卸载。

受影响的受害者可以使用第三方软件从其移动设备上删除此恶意应用程序,或者实际执行建议的出厂重设。

删除本身是一个两阶段的过程。

首先,您需要停用设备管理员权限。

然后,卸载Fobus本身。

Fobus的特殊之处不在于它可以监视受害者设备、发送SMS或拨打高级号码;有大量的恶意应用程序可以做到这一点。就像小引擎一样,d-link的ddos防御,福布斯从不放弃。通常情况下,ddos20攻击防御,用户只需卸载坏应用程序,就可以轻松地将其从设备中删除。不过,Fobus不会轻易放弃,它强大的移除保护功能甚至会让最有经验的用户感到沮丧。

感谢我的同事Ondřej David,为了配合这项分析,

可以成像的Little引擎来自Hero Wikia。