安基網 首頁 資訊 安全報 查看內容

阿拉伯木馬成功漢化,多款APP慘遭模仿用于攻擊

2020-1-21 13:41| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 樣本在執行過程中為了迷惑用戶會安裝內置的正規APK,真正的惡意程序則隱匿執行,用戶在此過程中一般感覺不到異常,從而竊取用戶短信、聯系人、通話記錄、地理位置、鍵盤記錄、文件目錄、應用信息、手機固件信息、錄 ...

樣本在執行過程中為了迷惑用戶會安裝內置的正規APK,真正的惡意程序則隱匿執行,用戶在此過程中一般感覺不到異常,從而竊取用戶短信、聯系人、通話記錄、地理位置、鍵盤記錄、文件目錄、應用信息、手機固件信息、錄音、錄像、截屏、撥打電話、發送短信等。

基于奇安信的多維度大數據關聯分析,我們已經發現國內有用戶中招,為了防止危害進一步擴散,我們對該遠控木馬進行了詳細分析,并給出解決方案。

MobiHokRAT簡介

MobiHok最早在2019年七月份在地下論壇中被發現,售賣者名為“Mobeebom”,除了在多個阿·拉伯語地下論壇活躍之外,售賣者還通過FaceBook、youtube進行宣傳,在FaceBook進行宣傳時同樣使用了阿拉伯文。

YouTube中拍攝了各個版本的運行視頻和一些安全機制繞過方法:

目前V4版本已經免費,在其官網上可以下載,其余版本收費情況如下,價格不菲:

相關證據表明在V4版本免費之后,國內使用該家族的團伙逐漸變多,且V4版本就可以繞過華為、三星、Google Play安全機制和FaceBook身份驗證。奇安信監控的數據如下:

V4版本主控端界面如下:

Mergin App項中可以嵌入任意正規APP。

樣本分析

相關樣本如下:

申請的權限:

該遠控APK木馬功能復雜,在執行過程中會運行內置正規Apk軟件來迷惑用戶,可以從資源中dump出正規的apk文件:

安裝后為作業幫app:

而木馬則在手機中隱秘執行,監聽電池變化的廣播,每當電池電量有變化時,計算百分比,并獲取充電類型:

獲取手機網絡鏈接類型:

測試是否能訪問www.google.com:

查看屏幕保護的狀態:

會靜默安裝內置的正規APP,并啟動:

kforniwwsw0類作為服務在MainActivity中被調用,連接遠程C2服務器:

遠控功能列表整理如下

指令參數 指令功能 calls_delete 刪除通話記錄 OpenApp 打開指定app KeyStart 配置相關 ViewFile 文件查看 WriteFiles 文件寫入 fcbkopen() 創建子目錄 ConnectedDownloadManager 指定URL下載者 AccountManager() 賬戶管理 MicrophoneStop() 麥克風停止 ViewFileVideoPlay 瀏覽視頻文件 PlayStop 停止播放 Apps() 枚舉安裝的app DelLog 刪除日志 GetLog 獲取日志 gglopen() 獲取指定app信息 SaveEdit 保存編輯 REHost 修改Host StartServiceGLocation() 啟動位置服務 CompressFiles 壓縮文件 DownManager 下載者 CallsManager() 通話記錄管理 DDownManager Socket管理 WinCall 聯網環境下電話呼入呼出 StartServiceCamera 開啟攝像頭服務 contacts_delete 聯系人刪除 Microphone20() 麥克風相關 deleteFiles 刪除文件 Terminal 遠程終端 SetWallpaper 設置手機背景墻 FileManager2 文件管理 FileDelete 文件刪除 Microphone() 麥克風相關 ContactsManager() 聯系人管理 properties 獲取properties文件 FileMove 文件移動 FileRename 文件重命名 FSettings 獲取設備相關信息 _VibratorOff 設置相關 contacts_write 添加聯系人 FUN 惡搞相關 FControl 控制音量、藍牙、GPS、WIFI等功能 AmDPM 修改鎖屏密碼 FileManager 文件管理 toast 彈框 unzip 解壓縮 PlayStart 開始播放 FindCamera() 尋找攝像頭設備 SMSManager 短信管理 key_logger 鍵盤記錄 ListenMicrophone 麥克風監聽 FileStart 彈出文件 FileWrite 文件寫入 ViewFileVideoBreak() 視頻相關 StopServiceGLocation() 停止定位服務 KeyStop 設置相關 CallPhone 撥打電話 _Vibrator 設置相關 chatOpen 打開聊天框 chat_set 聊天設置 edithost 修改Host EditFile 修改文件 SetParameters 設置攝像頭參數 StopServiceCamera() 停止攝像頭服務 InfDownManager 下載者

相關的遠控操作:

相關功能代碼:

FSettings獲取本機設備相關信息,如手機號、SDK_INT、Language、Siminfo、IMSI、IMEI、MAC、SSID、RSSI等相關信息:

獲取當前音頻模式:

獲取手機攝像頭相關信息:

獲取通話記錄相關信息。姓名、電話號、類型、持續時間:

錄音功能:

文件管理:

音頻管理:

鍵盤記錄:

下載者:

獲取聯系人信息:

撥號功能:

添加新聯系人:

總結

近年來,諸如SpyNote、AhMyth、AndroRAT等安卓遠控相繼免費甚至公開源代碼,黑產向移動端轉型的成本大大降低,相比于PC端的遠控,安卓遠控在地下論壇中售價較為便宜,1500-2500不等,有些中間商甚至使用開源的遠控框架不做任何免殺就在地下論壇進行販賣。

奇安信病毒響應中心提醒用戶不要安裝未知來源的APP,同時提高個人的安全意識,從而可以防止用戶隱私信息被盜取的風險,目前奇安信威脅情報中心文件深度分析平臺,奇安信病毒響應中心會移動安全團隊會持續對新型遠控框架的跟蹤,目前奇安信威脅情報中心文件深度分析平臺

(https://sandbox.ti.qianxin.com/sandbox/page)已支持Android樣本分析:

同時基于奇安信威脅情報中心的威脅情報數據的全線產品,包括奇安信威脅情報平臺(TIP)、天擎、天眼高級威脅檢測系統、奇安信NGSOC等,都已經支持對該家族的精確檢測。

轉載自FreeBuf.COM

最后,小編想說:我是一名python開發工程師,

整理了一套最新的python系統學習教程,

想要這些資料的可以關注私信小編“01”即可(免費分享哦)希望能對你有所幫助



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6784005647923937795/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱