欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

Haken和Joker恶意软件分析

b9e08c31ae1faa592020-02-2621恶意软件

Check Point研究人员近期发现一个点击恶意软件家族,并在Google Play应用商店中发现了Joker恶意软件家族的新样本。

本文对该恶意软件活动进行简单介绍,并对这两款恶意软件家族进行技术分析。

‘Haken’ & ‘BearClod’ 点击恶意软件

概述

Clickers又称点击恶意软件是模拟用户进行广告点击的恶意软件,是移动手机行业的一个新威胁。近期,UpsteamSystems发布了一个名为‘ai.type’或 ‘BearClod’的点击恶意软件。研究人员发现该点击恶意软件攻击活动的活动和规模都有所增长,而且在Google Play中发现了47个新的恶意应用,下载次数超过7800万次。

在监控‘BearClod’恶意软件家族活动时,研究人员发现了另一个点击恶意软件家族——‘Haken’。 ‘Haken’攻击活动最早发现于Google Play中。发现的这8个恶意应用下载次数超过5万次,点击恶意软件的目标是尽可能多地获取设备来进行获利。

Haken和Joker恶意软件分析  恶意软件 第1张

图 1 –Google Play中的Haken点击恶意软件

Haken和Joker恶意软件分析  恶意软件 第2张

图 2 – Google Play中的Haken点击恶意软件详情

Haken和Joker恶意软件分析  恶意软件 第3张

图 3 – Google Play中对Haken的评论

功能

‘BearCloud’和‘Haken’点击恶意软件家族使用不同的方法来实现点击功能。‘BearClod’使用的是创建web-view和加载执行点击的恶意JS代码,Haken点击恶意软件使用的是本地代码和到Facebook和AdMob库的注入,在与远程服务器通信时获取配置信息。

Haken clicker的第一个入口点是名为BaseReceiver的接收器。接收器会请求后门app不需要的权限,比如让后门应用在设备启动时运行代码的BOOT_COMPLETED。

Haken和Joker恶意软件分析  恶意软件 第4张

图 4 – Haken点击恶意软件权限

BaseReceiver会加载一个名为kagu-lib的原生库,并从方法startTicks来调用。该类注册了2个worker和1个计时器。其中一个worker与C2服务器进行通信来下载新的配置文件并处理,另一个worker由计时器触发,检查需求并注入代码到Google的AdMob和Facebook这些知名的AD-SDK广告相关的活动类中。

Haken和Joker恶意软件分析  恶意软件 第5张

图 5 – startTicks函数

Haken和Joker恶意软件分析  恶意软件 第6张

图 6 – 与C2服务器进行通信来获取配置

Haken和Joker恶意软件分析  恶意软件 第7张

图 7 – 处理配置信息

Haken和Joker恶意软件分析  恶意软件 第8张

图 8 – 注入Facebook和Google

点击功能是实现在注入到Ad-SDK的onCreate函数中的代码中,实际上是一个yzt.sta方法。

Haken和Joker恶意软件分析  恶意软件 第9张

图 9 – 调用注入的代码

在使用MotionEvent模拟用户点击时,这些函数是通过反射调用的。

Haken和Joker恶意软件分析  恶意软件 第10张

图 10 – 通过MotionEvent的obtain的反射点击从Ad-SDK接收的广告

在将该问题报告给谷歌后,所有受影响的应用都已经从Google Play中移除了。

Joker

概述

Joker恶意软件最早发现于2019年9约,是Google play中发现的一款监控恶意软件和保险服务拨号器。

在过去几个月,Joker重新出现在Google play应用商店。Tatyana Shishkova (@sh1shk0va)近期发推文称在Google play中发现了Joker恶意软件的样本。研究人员近期在Google play中发现了4个新的恶意软件样本,下载次数超过13万次。

近期Win7蓝屏大爆发?详细解读和应对方案

近期,深信服接到不少客户咨询关于Win7蓝屏大爆发的问题,大概内容指“Win7服役结束,微软不再更新补丁,电脑集体蓝屏,错误代码为F4,蓝屏与漏洞补丁有关联等等,并呼吁用户不要修复漏洞补丁”。 不过,从深信服收集上来的问题来看,并没有出现企业大规模Win7蓝屏的现象。我们通过追溯,发现比较早出现这一问题的,是个人及网吧环境,确实有部分个人用户及网管向安全厂商求助了。 关于漏洞修复(打补丁)是否会引起Win7蓝屏这一问题,我们进行了反复验证,并没有发现打补丁和Win7蓝屏有必然的关联(也就是说,打补丁并不会一定导致Win7蓝屏),我们也在第一时间咨询了微软官方人员,对方亦表示对此不甚了解。 由于补丁与Win7蓝屏没有必然联系,且企业环境极少发生,而在个人与网吧环境出现一定规模的蓝

Haken和Joker恶意软件分析  恶意软件 第11张Haken和Joker恶意软件分析  恶意软件 第12张Haken和Joker恶意软件分析  恶意软件 第13张

图 1 – Joker样本

技术分析:

· 字符串加密

Joker通过修改使用的字符串来隐藏其功能,本例中, Joker使用了静态密钥和简单的XOR加密。

Haken和Joker恶意软件分析  恶意软件 第14张

图 2 – XOR后的字符串和解密函数

· 初始化

在MainActivity的OnCreate中,恶意应用会触发恶意进程,然后注册用来启用NotificationListenerService服务的接收器。当从加载的模块中接收到命令后,就会继续运行handler。

Haken和Joker恶意软件分析  恶意软件 第15张

图 3 – 接收器注册

Haken和Joker恶意软件分析  恶意软件 第16张

图 4 – 通知Listener使用

Handler会检查下载的payload,如果存在就使用Reflection从payload中调用mas方法,开始DirectorAct活动。

Haken和Joker恶意软件分析  恶意软件 第17张

图 5 – 调用mas函数和‘DirectorAct’

‘DirectorAct’ 类会从payload中调用另一个方法——Chris。如果在处理时发生意外,或没有下载payload,joker就会与C2服务器通信来下载一个新的payload。

Haken和Joker恶意软件分析  恶意软件 第18张

图 6 – 联系C2服务

· Payload

首先看一下main活动中调用的mas函数。

启动后,payload就会从设备中读取运营者信息,然后确保设备不是来自于美国(MMC 310)或加拿大(MMC 302)。

Haken和Joker恶意软件分析  恶意软件 第19张

图 7 – 过滤美国和加拿大

一旦所有的条件都满足,Joker就会联系payload的C2服务器,从服务器加载配置文件。

Haken和Joker恶意软件分析  恶意软件 第20张

图 8 – 加载配置文件

配置文件中含有一个新的URL、另一个要加载的payload和一个类名为下载后要执行的方法。

Haken和Joker恶意软件分析  恶意软件 第21张

图 9 – 处理配置

Haken和Joker恶意软件分析  恶意软件 第22张

图 10 – Dex加载

Haken和Joker恶意软件分析  恶意软件 第23张图 11 – Payload执行

可以访问监听器通知和发送SMS,payload会监听收到的SMS,并提取保险服务的验证码(2FA),然后发送给“Offer Page”来订阅保险服务

但是恶意软件如何使用户订阅这些服务呢?在从C2服务器接收的配置中,会处理一个到联系人的URL的列表,并在隐藏的webview中打开。

Haken和Joker恶意软件分析  恶意软件 第24张

图 12 – 打开隐藏的webview,联系offer page

研究人员将应用问题报告后,Google已经从Google play中移除了相关应用。

本文翻译自:https://research.checkpoint.com/2020/android-app-fraud-haken-clicker-and-joker-premium-dialer/: