XLoader与FakeSpy的联系干系和与Yanbian Gang的干系 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

XLoader与FakeSpy的联系干系和与Yanbian Gang的干系

申博_安全防护 申博 193次浏览 已收录 0个评论

XLoader和FakeSpy是近来手机要挟范畴两款支流的歹意软件家属。XLoader最早是2018年4月被申报运用DNS缓存投毒或DNS诳骗手艺来用歹意安卓APP从受害者装备中盗取PII和金融数据,并装置其他APP。研讨人员往年6月宣布了FakeSpy歹意软件的申报,它运用SMS垂纶或SMiShing来举行信息盗取进击。

停止10月,环球XLoader和FakeSpy进击的受害者共有384784个,受害者重要来自韩国和日本。

XLoader与FakeSpy的联系干系和与Yanbian Gang的干系 XLoader与FakeSpy的联系干系和与Yanbian Gang的干系

图1. XLoader和FakeSpy进击的月沾染量

研讨人员剖析发明XLoader和FakeSpy是统一构造在背地运作的。

XLoader和FakeSpy伪装为正当APP

XLoader和FakeSpy联络关系的第一个线索是XLoader往年6月伪装成日本的家庭送货效劳公司的正当APP。而险些一切的FakeSpy变种都伪装为前面提到的APP来盗取用户敏感信息。

深入剖析XLoader和FakeSpy的运动,研讨人员发明这两款歹意软件家属运用体系的生态体系来运用歹意软件。研讨人员7月在VirusTotal上搜刮XLoader样本发明该样本来源于一个伪装为日本家庭送货效劳公司的歹意域名。1个月后,研讨人员剖析FakeSpy样本时发明它也来源于统一歹意域名。

XLoader与FakeSpy的联系干系和与Yanbian Gang的干系 XLoader与FakeSpy的联系干系和与Yanbian Gang的干系

图2. VirusTotal显现XLoader样本来源于前面提到的域名

XLoader与FakeSpy的联系干系和与Yanbian Gang的干系 XLoader与FakeSpy的联系干系和与Yanbian Gang的干系

图3. FakeSpy样本也来源于统一域名

并且多个XLoader和FakeSpy样本都显现异样的效果。停止发稿,研讨人员共发明XLoader和FakeSpy用于运用歹意软件的126个域名。

除此之外,研讨人员还发明XLoader和FakeSpy运用的要领和C2地点都有很多相似之处,个中一些变种滥用交际媒体用户材料来隐蔽其实在C2地点。

XLoader与FakeSpy的联系干系和与Yanbian Gang的干系 XLoader与FakeSpy的联系干系和与Yanbian Gang的干系

漏洞

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体.

图4. XLoader在交际媒体用户简介中隐蔽实在的C2地点

XLoader与FakeSpy的联系干系和与Yanbian Gang的干系 XLoader与FakeSpy的联系干系和与Yanbian Gang的干系

图5. 社体媒体材估中的IP地点,都是以^^开首,以$$末端

当APP启动时,会接见页面并剖析内容来猎取实在的C2地点。

Yanbian Gang

剖析代码构造和XLoader和FakeSpy的行动,能够发明FakeSpy和Yanbian Gang的样本有相干,Yanbian Gang是一个来自中国的立功构造,能够从韩国银行的账户中偷钱。

除此之外,FakeSpy和Yanbian app都进击日本和韩国的网上银行用户,而两款歹意软件的运营者运用的歹意软件都有相似的代码:

XLoader与FakeSpy的联系干系和与Yanbian Gang的干系 XLoader与FakeSpy的联系干系和与Yanbian Gang的干系

图6. Yanbian Gang app中的代码

XLoader与FakeSpy的联系干系和与Yanbian Gang的干系 XLoader与FakeSpy的联系干系和与Yanbian Gang的干系

图7. FakeSpy app中的代码

XLoader与FakeSpy的联系干系和与Yanbian Gang的干系 XLoader与FakeSpy的联系干系和与Yanbian Gang的干系

图8. 来源于Yanbian Gang的歹意APP (上)和FakeSpy样本(下)同享相反的元数据,个中含有受沾染装备的信息和C2效劳器途径

WHOIS效果申明FakeSpy和XLoader同享的歹意域名的注册者都来自中国。注册者的手机号显现地是吉林省,这也是Yanbian Gang已知成员的所在地。

考虑到研讨中收集到的信息,研讨人员推想Yanbian Gang与FakeSpy和XLoader存在某种联络。多是两个分歧的进击者构造运用了相反的效劳或运用基础设施。XLoader和FakeSpy歹意软件的盛行申明用户应当恪守手机平安的最佳实践。

XLoader和FakeSpy歹意软件的行动、目的、基础设施、进击向量和生长进程拜见研讨申报:《The Evolution of XLoader and FakeSpy: Two Interconnected Android Malware Families》。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/a-look-into-the-connection-between-xloader-and-fakespy-and-their-possible-ties-with-the-yanbian-gang/如若转载,请说明原文地点: http://www.4hou.com/web/14742.html

安全网站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体.


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明XLoader与FakeSpy的联系干系和与Yanbian Gang的干系
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址