频道栏目
首页 > 安全 > 网络安全 > 正文

针对相册类型木马的专题研究

2017-09-08 09:19:21      个评论      
收藏   我要投稿

一、摘要

2016年许多安卓的手机用户反应,自己电话缘自动向通信录发送带有链接的短信及发觉到自己的银行卡被动扣费等情形。网安钻研人员针对这系列的木马,进行了关连的剖析及追踪。发觉黑客通过伪基站向用户发送诈骗短信,笼统装作热门app并上传到安卓下载平台等方式诱导用户安设,以及通过第一批的受益者电话向通信录一切宰割人发送歹意下载地点,这种“鸟枪法”的转达手腕,能无穷循环传布下来,使到手机短信撒布歹意措施的数量大幅增长,损害面急剧增大。

二、木马小我工作流程

该木马私行取得短信内容,通信录信息并发送到指定邮箱, 转发接收短信到指定号码,存在隐私窃取属性;依据短信指令试验指定哄骗,具备长途管教属性;私行发送一致内容短信到指定号码,造成用户资费破耗,具有资费破耗属性;监控短信的领受,私自阻拦指定内容或指定号码发来的短信,删除指定内容短信,具有琐细破不佳的属性;提议后诱导用户激活设备整治器,窜伏图标,防范自身被卸载,存在泼皮举动。木马实行根底流程图如图2-1所示。

\

图 2-1 团体工作事理

三、木马技艺道理阐发

3.1 防卸载妙技

3.1.1 潜藏图标

木马运行之后潜藏图标,之后木马后再靠山暗里运行,同时诱导用户激活设备解决器,预防用户发觉和卸载,存在一定的隐蔽性。

潜藏图标代码如图3-1所示:

\

图 3-1 窜伏图标

3.1.2 诱导用户激活设备意图器

诱导用户激活设备意图器,并发送用户能否激活装备用意器短信到指定号码,具体如图3-2所示:

\
\

图 3-2 诱导用户获得装备解决器权限

诱导用户获取装备治理器权限具体实今世码如图3-3所示。

\

图 3-3 诱导用户失掉装备希图器权限代码

3.1.3 足够卸载

病毒在用户在测验考试卸载该歹意挨次时,会弹出涵概有恶意应用图标与称谓的卸载选项,用户点击该图标后暗示欠缺的卸载动态并继续在后盾运行,如图3-4、图3-5所示。

\

图 3-4 编造充沛卸载

\
\

图 3-5 捏造丰裕卸载

3.2 木马形状报送

该木马会实际监控木马的状态,在用户发起木马,激活设施用意器、卸载等把持时,会随时通过短信的方式传递黑客,黑客电话号码为13奸淫61。

带动时通太短信的方式通知黑客用户也曾运转木马,如图3-6所示。

\

图 3-6 发起通知黑客

用户激活取得消激活装备妄想器时,通过短信申报黑客目前状态,如图3-7所示。

\

图 3-7 发送激活配备贪图形态

用户卸载软件时秘密黑客,如图3-8所示。

\

图 3-8 卸载机密

3.3 快捷撒布

木马在发起时,后援遍历用户通讯录,并发送带有歹意URL的短信,欺骗用户分割人下载安装,该方式可使得木马转达速率迅速,具如图3-9所示。

\

图 3-9 倏地传布

3.4 窃取用户新闻

3.4.1 初始化数据

初始化远控号码、发送与领受的邮箱以及邮箱明码等新闻,详细如图3-10、图3-11、图3-12、图3-13所示。

\

图 3-10 初始化数据

\

图 3-11 内置远控号码

\

图 3-12 内置邮箱账号

\

图 3-13 内置邮箱暗码

3.4.2 征集信息

通太短信发送电话的IMEI、型号、系统版本等动静到指定号码,详细如图3-14、图3-15所示。

\

图 3-14 手机信息

\

图 3-15 发送手机动静

木马私自靠山收集用户短信、通讯录新闻,并通过邮件的方式发送用户静态到指定邮箱,如图3-16所示。

\

图 3-16 盗取短信和通讯录动静

私得到短信内容并发送到指定邮箱,详细如图3-17、如图3-18所示。

\

图 3-17 得到短消息

\

图 3-18 失去短静态并名堂化

通过邮件的方式发送用户短信到指定邮箱,具体如图3-19、图3-10所示。

邮箱地点: sh***8@263.net

明码: zq奸淫20

\

图 3-19 发送邮件

\

图 3-20 邮件信息

私失掉肢解人内容并发送到指定邮箱,具体如图3-21、图3-22所示。

\

图 3-21 获取支解人消息

\

图 3-22 名堂化支解人音讯

通过邮件方式发送瓜分人静态到指定邮箱,如图3-23所示。

邮箱地址: sh奸通奸骗8@263.net

密码: zq***20

\

图 3-23 发送邮件

3.4.3 长途管制

病毒运转时还会对领受的短信发展监听,当主控号码发来短信时,会对短信内容发展解析失去指令静态,并控制执行响应的恶意哄骗。

屏蔽用领受短信,发动任事解析短信指令,防备用户察觉,如图3-24所示。

主控号码:131***61

\

图 3-24 屏障短信

具体短信指令及对应歹意举止,如表3-1所示:

短信指令

恶意哄骗

LJ ALL

创议电话短信阻拦遵命

LJ SOME

封锁手机短信阻拦效用

LJ NO

封锁手机短信阻拦效用

LOOK TIME

发送短信(到期岁月)

LOOK PHONE

发送短信(手机动静)

SEND number content data

控制手机向指定号码发送短信

表 3-1 短途指令列表

依据短信指令试验发送短信,拦挡短信等行使,具体如图3-25所示。

\

图 3-25 远控试验恶意行使

已发起短信拦挡遵守,则转发用户领受短信到指定号码,同时屏蔽和删除该条短信,预防用户创造,详细如图3-26、图3-27所示。

\

图 3-26 转发短信

\

图 3-27 删除短信

手机细碎版本大于4.2.2,发送短信时,私下设置电话为静音内容,防止用户发觉收到的短信,具体如图3-28所示。:

\

图 3-28 设置装备摆设静音模式

3.5 坑骗方式

木马通过向朋分人发送短信,并将歹意URL嵌入到短信中,通过这种方式增进了骗取的可信度,从而坑骗用户下载安设,具体如3-29所示。

\

图 3-29 短信拐骗下载

颠末统计创造,目前相册类病毒主如果通太短信群发发展传播

XXX:自己瞧瞧 URL

XXX与你无关的,翻开看下 URL

XXX老同窗好,这是URL同砚们新整理出来的纪念栅与宰割录,人人相互留存,祝您生活和乐家庭侥幸

XXX你看这是我们相逢一块儿的时分拍的URL致逝去的青春......

四、数据统计阐发

4.1 主控号码统计解析

对今朝缔造的一切相册类提取主控手机号码发展统计,此中主控号码运营商占比划分为,中国挪动占比64%、中国联通占比43%、中国电信占比2%,详细占例如图。

\

主控号码归属地统计创造,其中广东占比高达54%,别的依次为北京占比9%、江苏占比6%、山东占比6%,详细占比环境如图。

\

4.2 窃密邮箱统计剖析

统共捕获失密邮箱6700多,此中触及邮箱近两百种,主要以21.cn、网易邮箱为主,具体占譬如图:

\

4.3 传播所在统计研究

2016年全年统共监测到2万假装相册类失密软件,对一切传布地点域名发展研究统计,个中TOP10域名如下表所示。

序号

域名

频次

1

www.7cbox.cn

1479

2

fileserver.iuoooo.com

992

3

nm2189cloud.oos-nm2.ctyunapi.cn

975

4

tj-ctfs.ftn.qq.com

547

5

gz189cloud.oos-gz.ctyunapi.cn

443

6

myfile.testin.cn

396

7

0158a.com

319

8

sz.ctfs.ftn.qq.com

293

9

shunsss.com

212

10

czpet.cn

147

对全体传布地址发展归属地检测,发明此中境外占比52%、香港占比33%、境内占比15%,说明该类病毒主如果通过域名绑定境外IP所在进行传布,增进追踪难度。

\

对境内IP发展统计,个中北京占比46%、其次是河南,占比13%,具体状况如图。

\

流传地址中,创造其中4500多病毒通过网盘发展撒播,此中虹盘占比38%,腾讯微盘占比33%、2189云盘占比22%,具体各个网盘具体占比下列:

\

五、防范措施及总结

提倡用户一般到正轨运用市肆下载需求本身的使用,同时不要任性点开短信中附带的下载链接等下载安装未知软件,可以无效的避免电话感得病毒;

安然紧要做到防患于未然,可使用APP威胁检测与态势剖析平台进行阐发对Android样板提取新闻并进行关联赏析与检测。

上一篇:对MSOffice的新变种木马(毒藤)进行深入的研究
下一篇:现在禁用还来得及!!黑客可以利用超声波劫持所有主流平台“语音助手”
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训

版权所有: 红黑联盟--致力于做实用的IT技术学习网站