趣彩票官方版

趣彩票官方版

    1. <form id='6nuly'></form>
        <bdo id='6nuly'><sup id='6nuly'><div id='6nuly'><bdo id='6nuly'></bdo></div></sup></bdo>

            阿拉伯木马成功汉化,多款APP惨遭模仿用于攻击

            2020-01-20 32984人围观 ,发现 6 个不明物体 终端安全

            概述

            近日,奇安信病毒响应中心在日常样本监控过程中发现了一批伪装成点读通.apk、作业帮.apk、手机找回.apk、PUBG.apk等国内用户常用软件的MobiHok家族样本。

            样本在执行过程中为了迷惑用户会安装内置的正规APK,真正的恶意程序则隐匿执行,用户在此过程中一般感觉不到异常,从而窃取用户短信、联系人、通话记录、地理位置、键盘记录、文件目录、应用信息、手机固件信息、录音、录像、截屏、拨打电话、发送短信等。

            基于奇安信的多维度大数据关联分析,趣彩票官方版已经发现国内有用户中招,为了防止危害进一步扩散,趣彩票官方版对该远控木马进行了详细分析,并给出解决方案。

            MobiHokRAT简介

            MobiHok最早在2019年七月份在地下论坛中被发现,售卖者名为“Mobeebom”,除了在多个阿·拉伯语地下论坛活跃之外,售卖者还通过FaceBook、youtube进行宣传,在FaceBook进行宣传时同样使用了阿拉伯文。

            YouTube中拍摄了各个版本的运行视频和一些安全机制绕过方法:

            目前V4版本已经免费,在其官网上可以下载,其余版本收费情况如下,价格不菲:

            相关证据表明在V4版本免费之后,国内使用该家族的团伙逐渐变多,且V4版本就可以绕过华为、三星、Google Play安全机制和FaceBook身份验证。奇安信监控的数据如下:

            V4版本主控端界面如下:

            Mergin App项中可以嵌入任意正规APP。

            样本分析

            相关样本如下:

            申请的权限:

            该远控APK木马功能复杂,在执行过程中会运行内置正规Apk软件来迷惑用户,可以从资源中dump出正规的apk文件:

            安装后为作业帮app:

            而木马则在手机中隐秘执行,监听电池变化的广播,每当电池电量有变化时,计算百分比,并获取充电类型:

            获取手机网络链接类型:

            测试是否能访问www.google.com:

            查看屏幕保护的状态:

            会静默安装内置的正规APP,并启动:

            kforniwwsw0类作为服务在MainActivity中被调用,连接远程C2服务器:

            远控功能列表整理如下

            指令参数 指令功能
            calls_delete 删除通话记录
            OpenApp 打开指定app
            KeyStart 配置相关
            ViewFile 文件查看
            WriteFiles 文件写入
            fcbkopen() 创建子目录
            ConnectedDownloadManager 指定URL下载者
            AccountManager() 账户管理
            MicrophoneStop() 麦克风停止
            ViewFileVideoPlay 浏览视频文件
            PlayStop 停止播放
            Apps() 枚举安装的app
            DelLog 删除日志
            GetLog 获取日志
            gglopen() 获取指定app信息
            SaveEdit 保存编辑
            REHost 修改Host
            StartServiceGLocation() 启动位置服务
            CompressFiles 压缩文件
            DownManager 下载者
            CallsManager() 通话记录管理
            DDownManager Socket管理
            WinCall 联网环境下电话呼入呼出
            StartServiceCamera 开启摄像头服务
            contacts_delete 联系人删除
            Microphone20() 麦克风相关
            deleteFiles 删除文件
            Terminal 远程终端
            SetWallpaper 设置手机背景墙
            FileManager2 文件管理
            FileDelete 文件删除
            Microphone() 麦克风相关
            ContactsManager() 联系人管理
            properties 获取properties文件
            FileMove 文件移动
            FileRename 文件重命名
            FSettings 获取设备相关信息
            _VibratorOff 设置相关
            contacts_write 添加联系人
            FUN 恶搞相关
            FControl 控制音量、蓝牙、GPS、WIFI等功能
            AmDPM 修改锁屏密码
            FileManager 文件管理
            toast 弹框
            unzip 解压缩
            PlayStart 开始播放
            FindCamera() 寻找摄像头设备
            SMSManager 短信管理
            key_logger 键盘记录
            ListenMicrophone 麦克风监听
            FileStart 弹出文件
            FileWrite 文件写入
            ViewFileVideoBreak() 视频相关
            StopServiceGLocation() 停止定位服务
            KeyStop 设置相关
            CallPhone 拨打电话
            _Vibrator 设置相关
            chatOpen 打开聊天框
            chat_set 聊天设置
            edithost 修改Host
            EditFile 修改文件
            SetParameters 设置摄像头参数
            StopServiceCamera() 停止摄像头服务
            InfDownManager 下载者

            相关的远控操作:

            相关功能代码:

            FSettings获取本机设备相关信息,如手机号、SDK_INT、Language、Siminfo、IMSI、IMEI、MAC、SSID、RSSI等相关信息:

            获取当前音频模式:

            获取手机摄像头相关信息:

            获取通话记录相关信息。姓名、电话号、类型、持续时间:

            录音功能:

            文件管理:

            音频管理:

            键盘记录:

            下载者:

            获取联系人信息:

            拨号功能:

            添加新联系人:

            总结

            近年来,诸如SpyNote、AhMyth、AndroRAT等安卓远控相继免费甚至公开源代码,黑产向移动端转型的成本大大降低,相比于PC端的远控,安卓远控在地下论坛中售价较为便宜,1500-2500不等,有些中间商甚至使用开源的远控框架不做任何免杀就在地下论坛进行贩卖。

            奇安信病毒响应中心提醒用户不要安装未知来源的APP,同时提高个人的安全意识,从而可以防止用户隐私信息被盗取的风险,目前奇安信威胁情报中心文件深度分析平台,奇安信病毒响应中心会移动安全团队会持续对新型远控框架的跟踪,目前奇安信威胁情报中心文件深度分析平台

            https://sandbox.ti.qianxin.com/sandbox/page)已支持Android样本分析:

            同时基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC等,都已经支持对该家族的精确检测。

            *本文作者:奇安信威胁情报中心,转载请注明来自FreeBuf.COM

            相关推荐
            发表评论

            已有 6 条评论

            取消
            Loading...
            奇安信威胁情报中心

            中国网络安全领导厂商奇安信旗下的威胁情报社交媒体

            154 文章数 4 评论数 10 关注者

            特别推荐

            推荐关注

            官方公众号

            聚焦趣彩票官方版安全

            活动预告

            填写个人信息

            姓名
            电话
            邮箱
            趣彩票官方版
            行业
            职位
            css.php