网站防护_阿里云高防ip30g用完就没了是吗_免费测试

网站防护_阿里云高防ip30g用完就没了是吗_免费测试

愤怒的安卓黑客将Xbot恶意软件隐藏在流行的应用程序图标中

过去几周,Avast移动安全分析师一直关注针对俄罗斯和东欧用户的安卓恶意软件。引起我们兴趣的一个家族是Xbot恶意软件。

Xbot的名称来自样本本身,因为在该恶意软件的所有变体中都发现了字符串Xbot。Xbot使用各种名称和软件包名称,但该字符串在我们分析的每个文件中都有不同程度的混淆,因此我们决定用它来命名恶意软件。

Xbot本身不是一个应用程序,但包含在不同的应用程序中。我们没有在谷歌Play上提供的应用程序中发现它,但在俄罗斯当地市场,如上发现了它。东欧用户比西欧和美国用户更多地使用Google Play以外的市场,这可能是网络犯罪分子选择这种分销渠道的原因之一。Xbot试图隐藏在看起来像合法应用的应用背后,比如谷歌Play或Opera浏览器。它收集了大量的权限,可以监视用户的短信,而恶意软件也可能在将来监视人们的电话。它还会在用户背后发送优质短信,因此基本上是恶意的。

从2月初开始,我们已经看到了353个独特的文件和2570多个独特的安装GUID。这些数字并不是我们见过的最高数字,但不幸的是,它让我们看到了Android恶意软件和社会工程的潜力。

我们发现一件有趣的事情是,恶意软件作者并不羞于表达他对发现其杰作的防病毒公司的愤怒。有时我们会发现指向恶意软件分析的嵌入消息。这个很结实。看看你是否能找到它://9new StringBuilder("FUCK___AV")。追加("1")。toString();。像这样的消息在恶意软件样本中并不是什么新鲜事,因为像Avast这样的安全公司确实可以从此类恶意软件中削减坏人的收入。

作为反分析保护的一部分,作者试图混淆这些样本,彻底防御cc攻击,使其更难阅读。但这种保护相当简单,因为它通常包括添加额外的垃圾字符,这些字符在运行时被排除在外,或者添加Proguard,这会破坏方法名称和文件结构。

我们分析的示例包含两个不同的包。一个包只包含一个类,它作为一种设置持有者,包含要连接的URL、附加APK名称(可能具有扩展功能)和本地首选项设置。

第二个包包含大部分功能。此软件包向我们展示了此恶意软件的三个不同且重要的功能。

在下一张图片中,您可以看到恶意软件请求的所有权限。

您可以看到恶意软件请求权限以接收已完成的启动,这允许恶意软件在受损设备上持久存在,javaddos防御,也就是说,恶意软件会随着设备的重启而自动重启。

恶意应用会试图隐藏。它使用了一些技巧来欺骗用户运行它。首先,通过分析该系列的样本集,我们能够识别一些知名应用程序图标的滥用,如Android Market、Opera浏览器、Minecraft甚至Google Play。

一旦用户运行应用程序,他会看到一个包含单个字符串的活动——"应用程序成功安装",始终仅使用俄语"Пжжжжааааааааааааааааа1072。谢天谢地,它不像我们几周前写的Fobus系列那么复杂,因此用户可以通过使用标准的Android卸载对话框找到它并将其从设备中删除,但老实说,谁还记得他们安装的所有应用程序?即使你这么做了,ddos慢速攻击防御,地球上还有谁想卸载谷歌游戏、Opera或其他类似的应用程序?;-)

正如我们前面提到的,该恶意软件使用的自我保护机制是对启动器隐藏其图标。这是通过使用PackageManager将componentEnabledSetting设置为DISABLED来实现的。如下图所示,

Xbot恶意软件由作者通过C&C服务器控制。服务器地址可能是随机创建的域,这些C&C服务器允许攻击者命令恶意软件开始监视设备、发送短信并在受影响的设备上下载其他内容。在下一张图片中,您可以看到与C&C服务器的通信使用URL参数发送数据,并使用php脚本进行处理。

根据C&C服务器的回答,免费的ddos云防御,恶意软件可以采取不同的行动。

其中之一是恶意软件可以将URL内容下载到受影响的设备。此URL从C&C服务器提供给Xbot。

下载内容后,Xbot可以启动此URL。在下一张图片中,您可以看到负责运行upee.apk的代码,该代码可能是通过前一张图片中的代码下载的。

另一种可能的做法是Xbot可以开始监视受感染的设备。它捕获所有收到的短信并搜索其中的关键词。

如果检测到关键词,它可以使用save_message.php脚本将所选短信上传到服务器。

我们已经注意到这种特定恶意软件的一些演变。然而,到目前为止,进化主要是在混淆、重构代码和资源方面。但现在,我们期待着进一步的发展。在分析过程中,我们注意到一个函数目前似乎没有任何用途,但将来可能会被误用。在正确实现后,此功能可用于监听来电。包含类的名称——ICREC——也是一个建议——传入呼叫记录器。但这并不是唯一表明可能会有一些变化的东西,我们还发现用于联系C&C服务器的gettaks.php包含的字段比当前使用的多。

我们遇到的C&C URL示例:

热门推荐
  • ddos清洗_流量攻击防护ddos_优惠券

      在我上周的博客文章《揭秘机器学习:做出明智的安全决策》中,我讨论了一个评估机器学习声明的框架。本周,我们来看看......

    09-02    来源:长虹华伟

    分享
  • 香港高防cdn_防ddos攻击服务_怎么办

      近几个月来,关于加密的争论再次升温。最近,ThreatWire报道了一种新的工具,即GrayKey,它可以解密最新版本的iPhone,在整个......

    04-07    来源:长虹华伟

    分享
  • 服务器防御_防cc攻击代码c#_精准

      以下是从3月份开始的一些重要更新新的!你的冠状病毒和家庭资源中心的工作你知道吗,仅在3月份,网络犯罪者就发起了超......

    08-26    来源:长虹华伟

    分享
  • 高防ddos_高防服务器文章_秒解封

      我们面临着许多网络安全挑战,但Avast准备用我们迄今为止最强大的保护来迎战这些挑战。 技术已经成为我们生活中不可或缺......

    05-23    来源:长虹华伟

    分享
  • ddos防火墙_服务器防护软件_新用户优惠

      本季共10集,于美国东部时间9月7日晚9点播出,在DIRECTV和atT*将于美国东部时间2016年9月7日晚9点推出广受好评的第三季系列节......

    03-13    来源:长虹华伟

    分享
  • ddos防御工具_ddos防护原理_限时优惠

      上周,我们在Reddit上讨论了恶意软件加密器、图像文件执行选项(IFEO)和电影垃圾邮件子标题。恶意软件情报分析师克里斯......

    03-21    来源:长虹华伟

    分享
  • cdn防御cc_游戏盾是什么_限时优惠

      你知道吗,35%的员工会出售公司信息,有些人只接受100英镑?为了有效地保护您的关键业务数据,您需要真正了解值什么从运......

    06-17    来源:长虹华伟

    分享
  • ddos防护_cc防御软件_打不死

      2015年10月是国家网络安全联盟第12个年度全国网络安全意识月。为了提高网络意识,我们发布了一个有趣的测试,测试你的共......

    04-26    来源:长虹华伟

    分享
  • 服务器防护_免费高防cdn_怎么办

      FacebookTwitterLinkedIn分享John和我昨天结束了OWASP AppSec 2007圣何塞会议。现在我们将与一些客户和合作伙伴会面,然后返回德克萨......

    11-22    来源:长虹华伟

    分享
  • 防御ddos_上海云盾_3天试用

      Imperva最近发现并缓解了其历史上规模最大、最集中的一系列暴力ATO(账户接管)攻击。从10月28日午夜开始的60个小时里,我......

    03-14    来源:长虹华伟

    分享
返回列表
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。