FunkyBot:针对日本的新型Android歹意软件家属 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

FunkyBot:针对日本的新型Android歹意软件家属

2018年,FortiGuard平安实验室发现了一场针对日本用户的歹意软件行动,攻击者经由历程将本身伪形成一家物流公司来流传Android歹意软件“FakeSpy”。

FortiGuard一向对此行动坚持亲昵关注,直到近来,攻击者建立的垂纶网站中最先涌现了新的Android歹意payload。

此次涌现的payload像平常一样,由封装顺序和payload构成,但这两者与我们以往碰到的都差别。以我们的履历来看,这是一类新的歹意软件,很多是由运动背地的统一个人开辟,用以替换他们已“太甚着名”的FakeSpy歹意软件。依据在payload的持久性机制中找到的日记字符串(如图7),我们决定将这个新的歹意软件系列称为FunkyBot。

我们剖析的样本为:152be211ecd21c8abfd7c687a5ca8a17906f589c59055516e5482ff3fc。

封装器

封装器由两个自力的部份构成:

· classes.dex文件中的Java代码

· libcsn.so文件中的当地代码

Java函数

样本中的封装器代码是经由殽杂的,不过经由一些搜刮,我们照样找到了一个未殽杂的版本。

封装器样本是:b4f3b7850c4332bcf85bbd64ebd6d837a3de64a03c1150cdd27e41599d2852b6。

它实行的第一个的函数是_attachBaseContext(Context base)。此函数接见APK资本文件夹中的设置文件——一个名为“_dcfg_.data”的JSON文件,并加载以下参数:

· “size”:确认封装器天生后缀为“.dex”的payload数目

· “payloadType”:标识payload的加密数据地点的位置

· “isTestIn”:用于测试的标志

· “type”:标识所运用的加密范例

在剖析样本中,我们发现了以下两种设置:

· {“size”:2,”payloadType”:0,”isTestIn”:”0″,”type”:3}

· {“size”:2,”payloadType”:1,”isTestIn”:”0″,”type”:3}

封装器会肯定运转的Android版本以天生恰当payload,还会天生一些假dex文件滋扰剖析。

接着搜检’payloadType’值,假如即是1则将资本数据复制到另一个文件夹;不然将在不挪动任何东西的情况下继承运转,由于它运用了加载在内存中的classes.dex文件。

 FunkyBot:针对日本的新型Android歹意软件家属

图2:Dex加密文件的提取

JNI函数

JNITools类声清楚明了一组包括在libcsn.so中的当地函数。

当地JNI_OnLoad函数在加载库时运转。它注册在JNITools中声明的本机函数,许可以差别于Java_<className>_<FunctionName>的通例计划举行挪用,这能够会增添逆向历程的难度。

假如设置变量’type’的值不即是0(意味着payload须要解密),代码将接见文件夹/data/data/<appname>/app_csn0/并在个中建立一个文件夹”.unzip”,须要注重的是,该文件夹的称号中的第一个字符是一个点,一般的ls敕令会对其不可见。

解密例程在从加密payload数据天生的文件上运转。依据’payloadType’的值,该数据来自以下两个泉源之一::

· 0:’classes.dex’文件,包括一切已实行的代码

· 1:资本文件,在本例中为assets / csn-enc.data

在第一种情况下,封装器接见/ proc / <pid> / maps文件,找到加载classes.dex文件的内存,然后在内存中查找标识加密数据开首的特定字符集。在本例中,魔法词是`csn_`。找到后,它会从该点最先复制。

设置变量“type”的差别值对应于差别的解密例程。代码支撑以下值:

· 0:没有加密

· 2/3:用值“0x51”(81)基于XOR解密的变体

多个WordPress插件SQL注入漏洞分析

背景 SQL注入漏洞是用来构建SQL查询的用户输入未经适当处理导致的漏洞。比如: 图1: 使用WordPress的SQL查询示例 从上面的代码来看,其中存在SQL注入攻击漏洞,因为从$_GET中提取的$_id在传递给SQL查询时没有经过任何处理。在最新的WordPress版本中,默认会在$_POST/$_GET/$_REQUEST/$_COOKIE中加入了magic quotes。这可以帮助WordPress维护,并提供最佳的安全能力。因此,上面的代码其实是没有漏洞的。 除了给所有输入值加斜杠(slash)外,WordPress会提供许多内置的处理函数来对输入进

在此样本中,设置的值一直为3,对应于以下解密函数:

末了解密例程都邑天生一个由类加载器加载的“classes.dex”payload文件。

Payload:FunkyBot

在剖析样本中,payload由两个.dex文件构成。一个是歹意软件假装的原始正当应用顺序的副本,另一个是歹意代码。

经由历程Java反射挪用要领`runCode` 类`com.wfk.injectplugin.EntryPoint`来启动payload。此要领起首启动`KeepAliceMain.start()`。

KeepAliceMain

此类用作歹意软件的持久性机制。它运用的是在Github上找到的开源库,使装备上的效劳坚持运动状况;还许可歹意软件静音装备,不过我们视察的当前样本中没有运用此功用。

此类能按期重新启动歹意软件的重要效劳,建立与长途效劳器的gRPC衔接。

GRPC客户端

C2地点

效劳器地点没有硬编码在’ classes.dex ‘文件中,但会在实行时期举行检索——经由历程函数`GprcsUtils.Regist_Server(String str)`挪用`UrlTool.loadIPAddrFromIns()`来提取C2的 URL。

 FunkyBot:针对日本的新型Android歹意软件家属

图8:加载来自Instagram的IP

此歹意软件运用交际媒体来获取其C2:起首下载一个没有照片的Instagram帐户的网页,然后提取此帐户的档案字段,并运用Base64对其举行解码。

 FunkyBot:针对日本的新型Android歹意软件家属

图9:假Instagram帐户

末了,运用DES解密天生的字符串,并运用值“d2a57dc1d883fd21fb9951699df71cc7”作为其种子(恰好是对应于单词’app’的MD5哈希)天生密钥,这可以在字符串下的图8中看到变量str3。

天生的URL为149.28.24.166:11257,我们已向Instagram举行了报备。

短信效劳

启动与效劳器的衔接后,歹意软件会继承网络并发送有关装备的以下信息:

· IMEI

· IMSI

· 电话号码

· 联系人列表

能滤出的信息的数目相对有限,特别是与像Anubis、Cerberus、Hydra之类的较大的讹诈软件家属比拟时,不过在流传技术上,FunkyBot跟后者们一样先进。

在将装备的一切联系人发送到C2以后,C2再以短信情势将歹意链接发送给受害者的联系人。这类战略已在多种歹意软件行动(比方FakeSpy和MoqHao)中运用过,能使歹意软件以相似蠕虫的体式格局流传。因而,假定该样本也是经由历程该类体式格局举行流传的猜测是合乎逻辑的。

别的值得注重的是,此歹意软件可以辨认SIM卡的提供商,并将目的特地锁定在了日本几家挪动供应商上。这么做须要先搜检装备的IMSI值,该值由两部份构成:第一部份标识供应商,第二部份标识装备唯一值。歹意软件搜检值的前半部份是不是与供应商列表相对应。

 

一最先我们以为,攻击者之所以这么做是为了针对特定运营商的用户。搜检供应商的函数 `is<Provider>()` ,假如返回的是true,那末歹意软件只会继承增添短信发送最大数目的值。

经由一些研讨后我们得出结论,这类行动能够只是由于这类供应商的用户之间发送短信是免费的,可以防止让用户发生疑心。

末了,歹意软件可以将本身设置为默许的SMS处置惩罚应用顺序,并荣国它将一切收到的音讯上传到C2。考虑到现在大多数银行都经由历程SMS运用双要素身份验证,此功用能够异常风险。

结论

在剖析历程当中,我们还碰到了其他未完全开辟的样本,表明该歹意软件现在正在开辟测试的阶段。

现在这款歹意软件体现出的才能有限,但提高的速率也异常快,其以后的影响力也不该被低估。

本文翻译自:https://www.fortinet.com/blog/threat-research/funkybot-malware-targets-japan.html​


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明FunkyBot:针对日本的新型Android歹意软件家属
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址