没法卸载的Xhelper歹意软件剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

没法卸载的Xhelper歹意软件剖析

申博_新闻事件 申博 34次浏览 未收录 0个评论

菲律宾Sunbet

菲律宾Sunbet娱乐平台而不断追求新的目标成立以来得到用户一致认可,信誉、安全、稳定为基础立足于业内是信的过的.

,

Symantec研究人员发明了一款歹意安卓运用顺序——Xhelper。该顺序能够隐蔽本身,下载其他的歹意app,展现广告。另有最重要的一点,Xhelper是永远的。用户在卸载了Xhelper后,歹意软件能够重新装置,并能完成隐蔽本身,并不涌现在体系的启动器中。在过去6个月,Xhelper已感染凌驾4.5万装备。

研究人员在许多在线论坛发明了许多用户发帖埋怨随机弹窗广告,纵然手动卸载后歹意软件依然能够显现广告。

没法卸载的Xhelper歹意软件剖析

没法卸载的Xhelper歹意软件剖析

图 1. 用户在论坛埋怨Xhelper (上: Google, 下:Reddit)

Xhelper

Xhelper并不供应一般的用户接口。歹意软件只是一个运用组件,也就算说并不会在装备的运用启动器中涌现,如图2所示。因而,歹意软件很轻易能够实行歹意运动。

没法卸载的Xhelper歹意软件剖析

图 2. 用来从运用启动器中移除app的代码(上)启动器中的app(下)

由于启动器中没有app图标,因而Xhelper没法手动启动。在该例中,歹意app 是经由过程外部事宜来启动的,比方当被黑的装备衔接或断开电源,装备重启或app装置或卸载时。

没法卸载的Xhelper歹意软件剖析

图 3. Xhelper的manifest代码显现能够触发歹意软件的事宜

歹意软件启动后,会将本身注册为前台效劳,这就降低了在内存太小时被kill掉的几率。为了完成驻留,歹意软件会在效劳住手时重启效劳,这也是挪动歹意软件经常使用的要领。

没法卸载的Xhelper歹意软件剖析

图 4. Xhelper将本身注册为前台效劳,在住手运行时重启效劳

WebLogic EJBTaglibDescriptor XXE破绽(CVE-2019-2888)剖析

这个漏洞和之前@Matthias Kaiser提交的几个XXE漏洞是类似的,而EJBTaglibDescriptor应该是漏掉的一个,可以参考之前几个XXE的分析。我和@Badcode师傅反编译了WebLogic所有的Jar包,根据之前几个XXE漏洞的特征进行了搜索匹配到了这个EJBTaglibDescriptor类,这个类在反序列化时也会进行XML解析。 Oracle发布了10月份的补丁,详情见链接(https://www.oracle.com/technetwork/security-advisory/cpuoct2019-5072832.html) 环境 · Windows 10 · WebLogic 10.3.6.0.190716(安装了

Xhelper在受害者装备上驻足后,就解密嵌入在包中的歹意payload到内存中来实行其中心歹意功用。然后,歹意payload会衔接到进击者的C2效劳器并守候敕令。为了防备通讯被阻拦,进击者在客户端装备和C2效劳器之间一切的通讯上都使用了SSL certificate pinning。

没法卸载的Xhelper歹意软件剖析

图 5. 含有SSL certificate-pinning特性的Xhelper代码

胜利衔接到C2效劳器后,歹意软件会下载其他payload到被感染的装备,比方开释器、点击器、rootkit等。研究人员以为C2效劳器上有差别的歹意软件,歹意软件包含有差别的功用,如许就给了进击者差别的挑选,包含数据盗取或完整掌握装备。

没法卸载的Xhelper歹意软件剖析

图 6. Xhelper猎取下载payload的设置数据的HTTP POST要求

Xhelper生长

研究人员最早是在2019年3月发明Xhelper的。当时歹意软件的代码还很简朴 ,其重要功用是让用户接见广告页。跟着时刻的推移,代码也在不断地更新和革新。刚开始的时刻,歹意软件衔接到C2效劳器的才能是直接写入歹意软件中,但随后该功用挪动到了加密的payload,这是为了尝试绕过基于署名的检测。一些老版本的变种中另有空的没有完成的类,但这些功用在以后的版本中都启用了。

研究人员有理由置信歹意软件的源码依然在开辟中。比方,研究人员发明许多类和常量变种都标记为Jio。这些类都是没有完成的,研究人员疑心进击者能够正在设计进击Jio用户。

没法卸载的Xhelper歹意软件剖析

图 7. Xhelper源代码中提到Jio的类和包

Xhelper下载资本

研究人员并没有在Google play运用市肆中找到本文中剖析的样本,研究人员猜想Xhelper歹意软件是从其他未知源处下载的,研究人员置信能够有许多的分发要领。

研究人员还发明这些歹意app在许多特定手机品牌中装置地频次很高,因而研究人员猜想进击者能够正在关注某些特定的品牌。另有用户对装备中歹意软件的驻留举行埋怨。虽然这些app能够并非体系运用顺序,这表明有另一个歹意体系app能够会下载歹意软件,研究人员现在还在观察中。

 

 Xhelper感染

统计数据表明,Xhelper歹意软件现在已感染了凌驾45000个装备。上个月,均匀天天有131个装备被感染,整个月有2400个装备被永远感染。歹意软件重要影响印度、美国和俄罗斯的用户。

本文翻译自:https://www.symantec.com/blogs/threat-intelligence/xhelper-android-malware


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明没法卸载的Xhelper歹意软件剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址