欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

新冠病毒(COVID-19)相关手机恶意应用分析

e6e9fdb1a932f3282020-04-1115恶意软件

新冠病毒(COVID-19)相关手机恶意应用分析  恶意软件 第1张

Check Point研究人员发现了16个不同的恶意应用,都伪装成合法的新冠病毒手机应用,其中一些恶意软件目的是窃取用户隐私信息、订阅优质付费服务来获得欺诈性的收入。

但这些应用并没有出现在官方应用商店中,而是来自一些新冠病毒相关的域名中。据统计数据,近期有30103个与新冠病毒相关的域名注册,其中0.4%(131个)是恶意的,9% (2777个)可能是恶意的,仍在确认中。自2020年1月以来有超过51000个新冠病毒相关的域名注册。

技术分析

Metasploit

Metasploit框架是一个漏洞利用和验证工具,被广泛应用于渗透测试中。用户利用Metasploit可以使用不同的漏洞利用和传播技术来定制化payload。与其他渗透测试工具相比,Metasploit常被恶意目的。

因为Metasploit简单易学,可以用最新的漏洞和期望的目的来非常简单地首先恶意和复杂程序的构造。Check Point研究人员发现了Metasploit框架创建的3个样本,名为coronavirus.apk。该应用可以很容易地传播和安装在大量设备上,满足几乎所有攻击者想要的目的。在设备上执行后,app就会启动一个服务来隐藏图标,使其更加难以发现。然后连接到C2服务器来加载恶意dex payload模块,C2服务器地址恶意软件代码的数组中。

新冠病毒(COVID-19)相关手机恶意应用分析  恶意软件 第2张

图 1: Metasploit构造的app中的恶意代码

Cerberus

Cerberus 是一款知名的安卓银行木马,也是一个恶意软件即服务(Maas),任何人都可以租赁该服务来构建自己的payload、配置、指挥控制受感染的设备。研究人员发现了3个从Corona 域名下载的新样本:

· http:// coronaviruscovid19-information [.] com/it/corona.apk

· https:// coronaviruscovid19-information [.] com/it/corona.apk

· https:// corona-apps [.] com/Corona-Apps.apk

这3个Cerberus样本的名字都是伪装的,看似无害,比如corona.apk’ & ‘Coronavirus_no_push_obf.apk’。一些样本还有病毒的图标作为伪装:

新冠病毒(COVID-19)相关手机恶意应用分析  恶意软件 第3张

图 2: 病毒应用图标

Cerberus的银行木马功能包括记录所有设备上的键盘、窃取Google认证数据和接收到的SMS,通过TeamViewer远程控制设备。这些应用使得Cerberus是一款非常危险和功能强大的恶意软件。

在一些Cerberus 变种中, 研究人员jiance 到一个用于绕过检测的的打包器,使得逆向非常困难。此外,应用还会从Assets 文件夹中的JSON文件中加载其主代码,文件夹中负责执行来自C2 服务器的命令的payload模块。

新冠病毒(COVID-19)相关手机恶意应用分析  恶意软件 第4张

图 3: Cerberus的代码是高度混淆的

新冠病毒(COVID-19)相关手机恶意应用分析  恶意软件 第5张

图 4: 主代码加载的JSON文件

CallPay Premium Dialer

Premium Dialer恶意软件是一种手机恶意应用,会在不告知用户和不获取用户同意的情况下为受害者订阅付费的优质服务

研究人员就发现了一款premium dialer,应用名包名都是coronaviral.oca.sdoasd。恶意软件会为2个负责恶意动作的IntentServices 注册一个接收器。

第一个服务名为SmsService,会用不同的参数执行到http:// app [.] spnewsource [.] com/scripts/app_mobile_message_get_nums.php的HTTP POST请求。成功post 数据后,就会接收一个含有手机号码和文本消息的响应,文本消息会发送给这个手机号。

第二个服务名为DialService。该服务的是用不同的参数执行到http://app [.] spnewsource [.] com/scripts/app_call_request.php的HTTP POST请求。会接收一个应用要拨打的手机号作为响应。

新冠病毒(COVID-19)相关手机恶意应用分析  恶意软件 第6张图 5: Premium Dialer发送SMS的代码

新冠病毒(COVID-19)相关手机恶意应用分析  恶意软件 第7张

图 6: Premium Dialer打电话的代码

Hiddad

Hiddad是 “Hidden Ad”(隐藏广告)的简称。该恶意软件出现在不同的变种中,这次伪装成阿拉伯语的新冠病毒信息app——‘کرونا ویروس .apk’。

Hiddad恶意软件执行时会隐藏其图标,以避免被发现和移除。然后开始分发广告到用户的屏幕,无论用户是否在app中。

新冠病毒(COVID-19)相关手机恶意应用分析  恶意软件 第8张

图 7: 阿拉伯语Hiddad恶意软件应用

MRAT

MRAT是“Mobile Remote Access Trojan”(手机远程访问控制木马)的简称,是一种手机恶意软件。攻击者可以完全控制和监控设备上安装的设备。一般来说,MRAT安装在设备上的目的是窃取用户数据,以进行下一步的监控活动。

本文翻译自:https://research.checkpoint.com/2020/covid-19-goes-mobile-coronavirus-malicious-applications-discovered/:
你必须知道的密码学理论:随机预言模型(三)

本系列文章的译文: 你必须知道的密码学理论:随机预言模型(一) 你必须知道的密码学理论:随机预言模型(二) 在我开始写这一系列文章时,我希望能够写出一篇能真正让外行人了解随机预言( Random Oracle)模型的系列文章。 我在前面那几篇不太专业的文章中把这个问题已经解决了。 然而,现在我已经在三号位了,还有一大堆技术问题需要解决。 在接下来的本系列文章中,我们将讨论一些可靠、实用的密码学问题。 快速回顾一下 在前两篇文章中,我们已经讨论了一些内容。 我们讨论了加密哈希函数及其性质,并讨论了为什么密码学家的“理想”哈希函数是一个随机函数。 我们注意到,随机函数在现实生活中永远不会起作用(存储太大,计算