“Adobe Flash Player”木马惊现新变种 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

“Adobe Flash Player”木马惊现新变种

申博_安全防护 申博 41次浏览 已收录 0个评论

近来阴影平安实验室在一样平常监测中发明了一款新的木马病毒Ginp,虽然他和前两周宣布的反间谍之旅004报告中形貌的“Flash Player”木马病毒称号很类似都带有“Flash Player”,然则他们却属于差别病毒家属。

该歹意软件的最初版本可以追溯到2019年6月初,它伪装成“Google Play Verificator”应用顺序。当时,Ginp是一个简朴的短信盗取器,其目的只是将用户手机吸收和发出的短信副本发送到C2效劳器。

在2019年8月,一个新版本宣布了,增加了银行木马特有的功用。这个歹意软件被伪装成冒充的“Adobe Flash Player”应用顺序,歹意软件代码增强了反殽杂才能。Ginp较前两周宣布的“Flash Player”木马病毒比拟除了具有木马病毒习用的远控猎取用户联系人列表、短信列表等隐私信息的特征外,还经由过程注册易接见性效劳监控用户装备,自动受权应用敏感权限,加载网页掩盖特定应用顺序页面,目的是盗取登录凭据信息。

1. 样本信息

MD5:1EA4002F712DE0D9685D3618BA2D0A13

顺序称号:Adobe Flash Player

顺序包名:solution.rail.forward

装置图标:

2. 详细分析

歹意软件第一次在装备上启动时,它会隐蔽图标并要求受害者供应无障碍效劳特权。

一旦用户授与要求的可接见性效劳特权,Ginp起首自动授与本身分外的权限,以便可以实行某些敏感的高权限操纵,而不须要受害者的任何进一步操纵。完成后,歹意顺序就可以一般工作了,可以吸收敕令并实行掩盖进击。

检测设置信息,并将信息发送至效劳器。以随意马虎掌握端依据设置信息来推断可以在受害者机械上实行哪些操纵。

图 2-1 猎取应用设置信息

监控效劳器相应状况,猎取C2效劳器下发的指令,盗取用户联系人列表、短信列表等信息。发送指定短信内容到指定联系人,目的是流传歹意软件。

指令列表:

表2-1 指令列表

经由过程可接见性效劳AccessibilityService,监控用户装备操纵事宜。

实行以下操纵 :

(1)更新应用列表,自动下载装置软件:从效劳器猎取须要下载的应用链接、下载应用并翻开装置界面,当监测到体系弹出装置界面时,遍历节点,经由过程perforAcmtion实行点击赞同受权。

(2)自动授与高敏感权限:请求吸收发送读取短信权限,当监测到体系弹框要求权限时,遍历节点,经由过程perforAcmtion实行点击赞同受权。

“Adobe Flash Player”木马惊现新变种

图2-5 自动受权、装置软件

(3)自我庇护,防备被删除:当监测到用户翻开的界面包括“force”强迫住手、“app info”应用列表时,顺序退出到HOME界面,所以用户没法经由过程检察应用列表卸载该软件。

基于AFL对Linux内核模糊测试的过程详述

coverage-guided fuzzing是一种强大的模糊测试技术,因为代码覆盖率(Code Coverage)是反映测试用例对被测软件覆盖程序的重要指标,自动化程序将半随机输入注入到测试程序中,这样做的目的是找到触发漏洞的输入,模糊测试在查找C或c++程序中的内存损坏漏洞时特别有用。通常情况下,建议选择一个非常熟悉但很少涉及的、大量解析的库。依据经验看,libjpeg、libpng和libyaml都是完美的攻击目标。不过现在很难找到一个好的目标,不过从另外一个角度来说,这也说明软件越来越安全了!不过我还是决定尝试一下

(4)掩盖进击:监测用户翻开的应用,从效劳器猎取网页掩盖目的应用,该效劳器模仿实在的应用顺序页面举行掩盖,以盗取用户登录凭据。

“Adobe Flash Player”木马惊现新变种

图2-7 掩盖目的应用

目的软件:

· Google Play

· Facebook

· Instagram

· Whatsapp

· Chrome

· Skype

· Twitter

· Snapchat

下面的截图显现了在掩盖进击时收集了什么范例的信息

“Adobe Flash Player”木马惊现新变种

2-8 掩盖进击网页

设置歹意软件为默许短信应用顺序。监控用户短信收发状况。

3. 效劳器地点

表3-1 效劳器地点

4. 同源样本

监测中发明的效劳器地点雷同的样本。虽然该木马病毒临时的目的是一些交际软件,然则它大概正在更新另一个新版本的歹意软件将目的转向于银行,用于盗取用户越发敏感的信息,如:银行卡信息、信用卡信息,以猎取好处。

表4-1 同源样本

“Adobe Flash Player”木马惊现新变种

5. 平安发起

· 因为歹意软件对本身举行了庇护,用户经由过程一般体式格局没法卸载。可采用以下体式格局卸载。

(1)将手机衔接电脑,在掌握端输入敕令:adb shell pm uninstall 包名。

(2)进入手机/data/data目次或/data/app目次,卸载文件名带有该应用包名的文件夹,应用将没法应用。

(3)装置好杀毒软件,能有用辨认已知病毒。

· 许多进击者会经由过程短信流传歹意软件,所以用户不要随意马虎点击带有链接的短信。

· 对峙去正规应用市肆或官网下载软件,郑重从论坛或别的不正规的网站下载软件。

原文地点: https://www.4hou.com/system/21859.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明“Adobe Flash Player”木马惊现新变种
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址