Google Play中的韩国公交车运用开释歹意软件 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Google Play中的韩国公交车运用开释歹意软件

申博_安全防护 申博 217次浏览 已收录 0个评论

迈克菲挪动研讨团队近来发明一种新的歹意Android运用顺序,假装成由韩国开辟人员开辟的交通运用顺序系列的插件。该系列App为韩国各个地区供应了一连串信息,比方巴士站地位、巴士到达时候等。该系列共有四个运用顺序,个中三个运用顺序自2013年起可从Google Play取得,另一个运用宣布于2017年摆布。现在,四个运用顺序都已从Google Play中移除,而假装插件自身并未上传到市肆。在剖析伪插件之时,我们也在寻觅初始下载器和其他有效载荷 – 我们发明系列中的每一个运用顺序的一个特定版本(在同一天上传)将歹意软件开释到装置它们的装备上,这也诠释了经由5年的生长它们终究被Google Play移除。

Google Play中的韩国公交车运用开释歹意软件

图1. Daegu Bus运用顺序的Google Play缓存页面,系列中的一个运用顺序

装置歹意交通运用顺序后,它会从被黑客入侵的Web效劳器下载其他的有效载荷,个中包孕我们末了猎取的伪插件。鄙人载并装置伪插件以后,它会做一些完整分歧的事变 – 它充任交通运用顺序的插件并在装备上装置木马,试图经由历程收集垂纶引诱用户输入他们的Google帐户暗码并完整掌握装备。风趣的是,歹意软件运用原生库来接受装备,并删除库以隐蔽检测。它运用了盛行的韩国效劳称号,如Naver,KakaoTalk,Daum和SKT。依据我们的遥测数据,受沾染装备的数目异常少,这表明终究的有效载荷仅装置在一小部分目标上。

一、歹意行为

下图说清楚明了从歹意软件分发到装备沾染的团体流程。

Google Play中的韩国公交车运用开释歹意软件

图2.装备沾染历程

装置歹意交通运用顺序时,它会搜检是不是已装置伪插件,若是没有,则从效劳器下载并装置它。以后,它下载并实行一个分外的本机木马二进制文件,类似于伪插件开释的木马。 一切都完成后,它将与C2效劳器通联并处置惩罚收到的敕令。

二、初始下载器

下表显现了有关该系列中每一个歹意交通运用顺序的版本的信息。正如Google Play装置统计数据所示,这些运用已被很多装备下载。

Google Play中的韩国公交车运用开释歹意软件

与清洁版本分歧,歹意版本包罗名为“libAudio3.0.so”的原生库。

Google Play中的韩国公交车运用开释歹意软件

图3.嵌入了歹意库的Transportation运用顺序

在运用顺序的BaseMainActivity类中,它加载歹意库并挪用startUpdate和updateApplication。

Google Play中的韩国公交车运用开释歹意软件

图4.在运用顺序中加载和实行的歹意库

startUpdate经由历程搜检是不是存在名为“background.png”的特定标记文件和是不是已装置伪插件来搜检运用顺序是不是已准确装置。若是装备尚未被沾染,则从被黑客入侵的Web效劳器下载伪插件,并在向受害者显现Toast音讯后装置。 updateApplication从同一个被黑客入侵的效劳器下载二进制文件并动态加载它。下载的文件(保存为libSound1.1.so)在加载到内存后会被删除,末了,它会实行木马的导出函数。 如前所述,此文件类似于伪插件删除的文件,本文稍后将对此举行议论。

Google Play中的韩国公交车运用开释歹意软件

图5其他载荷

三、伪插件

伪插件从被黑客入侵的Web效劳器下载,文件扩大名为“.mov”,看起来像媒体文件。装置并实行它时,它会显现一条Toast音讯,申明该插件已胜利装置(韩语)并挪用名为playMovie的本机函数。伪插件的图标很快就会从屏幕上消逝。在LibMovie.so中完成的本机函数存储在资产文件夹中,它将歹意木马开释到以后正在运转的运用顺序目次中,假装成libpng.2.1.so文件。开释的木马末了嵌入在LibMovie.so xor’ed中,在运转时解码。 授与权限后,运用dlsym动态检索已开释木马中导出函数“Libfunc”的地点。删除文件体系中开释的二进制文件以避免检测,末了实行Libfunc。

Google Play中的韩国公交车运用开释歹意软件

图6装置歹意软件时的Toast音讯

在另一个分支历程中,它实验接见已装置的SD卡上的“naver.property”文件(若是有的话),若是胜利,则实验启动显现Google收集垂纶页面的“.KaKaoTalk”行为(概况请参阅 鄙人一节)。dropper的团体流程以下图所示:

Google Play中的韩国公交车运用开释歹意软件

图7. dropper的实行流程

以下是清单文件的片断,显现“.KaKaoTalk”已导出。

Google Play中的韩国公交车运用开释歹意软件

图8. Android Manifest将“.KaKaoTalk”界说为导出

四、运用JavaScript页面垂纶

KakaoTalk类翻开一个当地HTML文件javapage.html,在受沾染装备上注册的用户电子邮件会自动设置为登录其帐户。

Google Play中的韩国公交车运用开释歹意软件

图9. KakaoTalk类加载歹意当地html文件

页面加载完成后,受害者的电子邮件地点经由历程JavaScript函数setEmailAddress设置为当地页面。显现假的韩国Google登录网站:

Google Play中的韩国公交车运用开释歹意软件

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

图10.歹意JavaScript显现带有用户帐户的精心设计的Google登录页面

我们发明歹意软件作者应用Google正当效劳的实验以下:

· 盗取受害者的Google帐户和暗码

· 要求特定帐户的暗码规复

· 在建立新的Google帐户时设置规复电子邮件地点

收集垂纶进击的一个风趣元素是歹意软件作者试图将本身的电子邮件设置为Google正当效劳的规复地点。 比方,当用户点击网上欺骗网页中的新Google帐户建立链接时,会翻开精心制作的链接,并将歹意软件作者的电子邮件地点作为RecoveryEmailAddress的参数。

Google Play中的韩国公交车运用开释歹意软件

图11.精心设计的JavaScript实验为新的Google帐户建立设置规复电子邮件地点

荣幸的是,关于终究用户,上述歹意希图都没有胜利。在帐户建立阶段,包罗歹意软件作者电子邮件地点的参数被疏忽。

五、Trojan

除谷歌收集垂纶页面,当实行该木马的“Libfunc”功用(由伪插件开释或从效劳器下载)时,手机完整被掌握。它从以下硬编码的C2效劳器列表吸收敕令。 该木马的主要功用是在一个名为“doMainProc”的函数中完成的。请注意,一些特洛伊木马的变种具有分歧的功用,但总的来说,它们险些雷同。

Google Play中的韩国公交车运用开释歹意软件

图12. C2效劳器的硬编码列表

硬编码C2效劳器的地理地位以下所示:

Google Play中的韩国公交车运用开释歹意软件

图13. C2效劳器的地位

在doMainProc函数内,该木马从C2效劳器吸收敕令并挪用恰当的处置惩罚顺序。 下面的switch的一部分让我们相识这个木马支撑的敕令范例。

Google Play中的韩国公交车运用开释歹意软件

图14.在已开释的木马中完成的敕令处置惩罚顺序的子集

如你所见,它具有一般木马所具有的一切功用。下载、上传和删除装备上的文件,将信息走漏给长途效劳器等。下表说清楚明了支撑的C2敕令:

Google Play中的韩国公交车运用开释歹意软件

图15. C2敕令

在进入敕令处置惩罚轮回之前,该木马举行一些初始化,比方将装备信息文件发送到效劳器并搜检装备的UID。只要在UID搜检返回1后才进入轮回。

Google Play中的韩国公交车运用开释歹意软件

图16在进入敕令轮回之前衔接的效劳器

在这些敕令中,目次索引尤为重要。目次构造保存在名为“kakao.property”的文件中,并在索引用户装备中的给定途径时,它运用特定关键字搜检文件,若是婚配,则将文件上传到长途上载效劳器。 这些关键字是韩文,其翻译成英文以下表所示:

Google Play中的韩国公交车运用开释歹意软件

图17搜刮关键字

经由历程检察关键字,我们能够展望歹意软件作者正在寻觅与军事、政治等相干的文件。这些文件将上传到零丁的效劳器。

Google Play中的韩国公交车运用开释歹意软件

图18关键字婚配文件上传效劳器

六、总结

在走漏敏感信息之前,运用顺序能够轻松欺骗用户装置它们。另外,歹意软件潜入官方Google Play市肆并运用户难以珍爱其装备的状况其实不少见。这类歹意软件并不是一般的收集垂纶实验,而是异常有针对性的进击,在受害者的装备上搜刮与军事和政治相干的文件,试图走漏机密信息。用户应一直装置他们能够完整信托的运用顺序,纵然它们是从受信托的泉源下载的。

McAfee Mobile Security将此要挟检测为Android / MalBus,并向挪动用户发出警报(若是存在),同时珍爱他们免受任何数据丧失。

Hashes (SHA-256)

初始下载器(APK)
• 19162b063503105fdc1899f8f653b42d1ff4fcfcdf261f04467fad5f563c0270
• bed3e665d2b5fd53aab19b8a62035a5d9b169817adca8dfb158e3baf71140ceb
• 3252fbcee2d1aff76a9f18b858231adb741d4dc07e803f640dcbbab96db240f9
• e71dc11e8609f6fd84b7af78486b05a6f7a2c75ed49a46026e463e9f86877801

伪插件 (APK)
• ecb6603a8cd1354c9be236a3c3e7bf498576ee71f7c5d0a810cb77e1138139ec
• b8b5d82eb25815dd3685630af9e9b0938bccecb3a89ce0ad94324b12d25983f0

Trojan
• b9d9b2e39247744723f72f63888deb191eafa3ffa137a903a474eda5c0c335cf
• 12518eaa24d405debd014863112a3c00a652f3416df27c424310520a8f55b2ec
• 91f8c1f11227ee1d71f096fd97501c17a1361d71b81c3e16bcdabad52bfa5d9f
• 20e6391cf3598a517467cfbc5d327a7bb1248313983cba2b56fd01f8e88bb6b9


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Google Play中的韩国公交车运用开释歹意软件
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址