歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

阿拉伯木馬成功漢化,多款APP慘遭模仿用于攻擊

來源:本站整理 作者:佚名 時間:2020-01-20 TAG: 我要投稿

近日,奇安信病毒響應中心在日常樣本監控過程中發現了一批偽裝成點讀通.apk、作業幫.apk、手機找回.apk、PUBG.apk等國內用戶常用軟件的MobiHok家族樣本。
樣本在執行過程中為了迷惑用戶會安裝內置的正規APK,真正的惡意程序則隱匿執行,用戶在此過程中一般感覺不到異常,從而竊取用戶短信、聯系人、通話記錄、地理位置、鍵盤記錄、文件目錄、應用信息、手機固件信息、錄音、錄像、截屏、撥打電話、發送短信等。
基于奇安信的多維度大數據關聯分析,我們已經發現國內有用戶中招,為了防止危害進一步擴散,我們對該遠控木馬進行了詳細分析,并給出解決方案。
MobiHokRAT簡介
MobiHok最早在2019年七月份在地下論壇中被發現,售賣者名為“Mobeebom”,除了在多個阿·拉伯語地下論壇活躍之外,售賣者還通過FaceBook、youtube進行宣傳,在FaceBook進行宣傳時同樣使用了阿拉伯文。

YouTube中拍攝了各個版本的運行視頻和一些安全機制繞過方法:

目前V4版本已經免費,在其官網上可以下載,其余版本收費情況如下,價格不菲:

相關證據表明在V4版本免費之后,國內使用該家族的團伙逐漸變多,且V4版本就可以繞過華為、三星、Google Play安全機制和FaceBook身份驗證。奇安信監控的數據如下:

V4版本主控端界面如下:

Mergin App項中可以嵌入任意正規APP。
樣本分析
相關樣本如下:

申請的權限:

該遠控APK木馬功能復雜,在執行過程中會運行內置正規Apk軟件來迷惑用戶,可以從資源中dump出正規的apk文件:

安裝后為作業幫app:

而木馬則在手機中隱秘執行,監聽電池變化的廣播,每當電池電量有變化時,計算百分比,并獲取充電類型:

獲取手機網絡鏈接類型:

測試是否能訪問www.google.com:

查看屏幕保護的狀態:

會靜默安裝內置的正規APP,并啟動:

kforniwwsw0類作為服務在MainActivity中被調用,連接遠程C2服務器:

遠控功能列表整理如下
指令參數
指令功能
calls_delete
刪除通話記錄
OpenApp
打開指定app
KeyStart
配置相關
ViewFile
文件查看
WriteFiles
文件寫入
fcbkopen()
創建子目錄
ConnectedDownloadManager
指定URL下載者
AccountManager()
賬戶管理
MicrophoneStop()
麥克風停止
ViewFileVideoPlay
瀏覽視頻文件
PlayStop
停止播放
Apps()
枚舉安裝的app
DelLog
刪除日志
GetLog
獲取日志
gglopen()
獲取指定app信息
SaveEdit
保存編輯
REHost
修改Host
StartServiceGLocation()
啟動位置服務
CompressFiles
壓縮文件
DownManager
下載者
CallsManager()
通話記錄管理
DDownManager

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 很 漂亮 的 av女优 自己的网站如何赚钱 追光娱乐正式版下载 湖南红中麻将 期货配资公司怎么找 西甲赛程什么时候结束 欢乐彩合法吗 一本道当家嫩女--林檎 如何网赚 永利棋牌app 青海快三预测 詹天佑3d预测今天推 浙江十一选五开奖走 足彩比分是90分钟内 p2p理财平台有哪些 王者捕鱼下载手机版