婷婷视频在线,欧美成视频在线观看,高清无码aaaaa片

名為Coronavirus的安卓RAT木馬正在爆發

責編：gltian ｜2020-03-04 15:15:38

惡意軟件作者已經開始濫用最近的冠狀病毒恐慌作為傳播其惡意創作的手段，正如我們較早的博客之一所強調的那樣。SonicWall Capture Labs威脅研究團隊最近觀察到了該策略在Android生態系統中的使用以及以遠程訪問木馬（RAT）的形式使用。

根據Virustotal和Koodous的上傳日期（2020年2月上旬），發現了一個名為Coronavirus的Android apk，此示例似乎是相當新的。

初步觀察

在安裝和執行之后，此樣本請求受害者重新輸入設備上的PIN碼/圖形手勢解鎖并竊取它，同時反復請求輔助功能：

神秘的類和加密的代碼

在查看代碼結構時，很明顯在此示例中使用了某種形式的打包/編碼。類名稱看起來是隨機的，但它們本身具有結構，大多數類名稱的長度相似，并且在名稱上也具有相同的隨機性。在檢查Manifest.xml文件時，列出的大多數活動在反編譯代碼中均不可用，這表明“真實的”類文件將在運行時解密。這種機制使自動化工具難以分析代碼并做出結論。

在設備上安裝了應用程序的/ data /文件夾包含幾個有趣的文件：

ZE.json實際上是一個.dex文件，將其重命名并在dex類查看器中打開，最后向我們展示了Manifest.xml文件中缺少的類文件：

該.dex文件包含許多垃圾分類-不包含有用代碼的類-但是我們看不到包含清晰代碼的類文件。但是，我們面臨另一個挑戰，這些類中的許多字符串都經過編碼，沒有任何意義：

使用代碼中存在的解密邏輯（下面突出顯示），我們能夠解密這些字符串并了解該惡意軟件的實際功能：

能力和功能分析

該惡意軟件偵聽攻擊者發出的以下命令并執行相應的功能：

rat_cmd
rat_disconnect
open_folder
upload_file
get_apps
connect_teamviewer
open_teamviewer
device_unlock

我們觀察到了基于代碼中存在的跟蹤的其他功能：

grabing_pass_gmail
grambbing_lockpattern

logs_keylogger
logs_contacts
logs_saved_sms
package_name_defultsmsmenager
check_protect
run_disable_protect
time_run_bypass_protect
remove_app
time_run_injects
time_run_cc
admin

攻擊者可以使用其中一些命令來遠程控制設備，從而使該惡意軟件成為RAT（遠程訪問木馬）。

網絡通訊

在我們的分析過程中，我們觀察到惡意軟件與hxxp：//otispride.site和hxxp：//kryll.ug進行通信，如下所示：

根據上述網絡數據包中使用的參數? -info_device- 我們可以確定正在傳輸有關受感染設備的信息。我們在下面列出的代碼中找到了更多此類參數：

d_attacker_two
d_attacker
is_attacker
info_device
new_device
saved_data_attacker
saved_data_device
pause_attacker
saved_accessibility_events
upgrade_patch
connecting
saved_all_sms
saved_contacts
saved_applications
rat_connect
rat_cmd

駐留方式

該惡意軟件通過多種方式在設備上實現持久性：

Android的電池優化功能使應用程序處于暫停狀態以節省電池電量，但是由于此惡意軟件是RAT，因此它在不斷偵聽攻擊者的傳入命令時效果最佳。安裝后，此惡意軟件要求用戶忽略此應用程序的電池優化，從而阻止此應用程序進入低功耗/睡眠狀態。稍后，當我們嘗試從應用程序撤消此權限時，它會使用一個基本的防刪除技巧，即在我們撤消該權限之前，快速按下后退按鈕：