您的当前位置: 主页 > 99876静心阁 >

挂牌反间谍之旅:模拟订阅高级服务

更新时间:2019-11-06

  导读:何为“间谍”?《说文解字》解释道:“谍,军中反间也。”使用反间计当然需要三寸不烂之舌,这是“谍”的本义。“间”怎么会跟“谍”联系起来了呢?“间”本来写作“闲”,清代文字训诂学家段玉裁为《说文解字》所作的注释说:“开门月入,门有缝而月光可入。”因此“间”的本义就是门缝,泛指缝隙,有缝隙就可以使用反间计了,故称“间谍”。

  这期我们分析的间谍软件较上期分析间谍软件RBMusic有较大不同,恶意程序并不是根据控制端发送的不同指令执行不同窃取用户隐私数据的操作,而是从服务端获取代码进行动态加载,实现无声地模拟与广告网站的自动交互包括模拟点击和输入高级服务订阅的授权代码,窃取受害者的短信、账号、设备信息并上传至服务器。

  攻击者将恶意代码集成到应用的广告插件中,所以这四个样本的恶意行为基本相同,都具有获取服务端代码进行动态加载的远控行为和窃取用户短信、账号、设备信息的窃取隐私行为。但是他们的服务器地址有所不同。

  恶意软件只攻击目标国家。大多数受感染的应用程序都包含一个移动国家代码列表(MCC),但它会把美国或加拿大排除在外。受害者必须使用其中一个国家的SIM卡才会继续执行动态加载DEX文件操作。程序开始从服务器获取动态加载 DEX文件的代码,加载的类名、函数名以及参数。申请开启通知权限,启动监听短信通知服务,如果程序接收到短信通知会发送一个广播。接着加载DEX文件,在DEX文件中注册接收短信信息的广播,上传用户账户以及设备信息,并解析从服务端返回的数据包括需要加载的订阅高级服务的网页url、授权代码、匹配短信信息的正则表达式、以及模拟点击的java代码等。然后加载网页和java代码模拟点击。等待带有确认代码的SMS消息,并使用正则表达式提取它。最后将获取的设备和短信等信息上传至服务器。

  从服务器获取动态加载DEX文件的代码,加载的类名、函数名以及参数。参数包含DEX文件中所用到的服务器地址。第二阶段从传入的参数服务器地址中获取需要加载的订阅高级服务的网页url、授权代码、匹配短信信息的正则表达式、以及模拟点击的 java代码等信息。

  如果应用已开启通知权限,监听短信通知,获取短信内容并发送发action_text广播。

  病毒在应用的Application初始化时加入了自己的代码,并将自己代码集成在mopub广告插件中。

  获取SIM卡的移动国家码和移动网络码,排除美国和加拿大两个国家。启动线获取SIM卡信息

  连接服务器:。服务器 url的K值是根据包名、SIM卡信息、随机数而产生的。

  将获取的返回值保存到配置文件中并进行DES解密。密钥为whijgyxx硬编码在代码中。

  连接服务器:‐eu‐jet.***‐eu‐central‐1.*** .com/s8‐5‐release, 获取DEX文件代码。将获取的代码写入最开始创建的文件中。

  循环读取文件,每次读取128字节写入另一文件中,形成真正将要加载的DEX文件。

  加载DEX文件。并调用ernal.Entrance类中的函数initialize。传入参数和 tdelXB。

  获取用户设备信息以及用户账号信息并上传至服务器:***.46.15/api/ldjb/。不同应用上传的服务器地址不一定一样,***.46.15/api/ldjb/这个地址获取不到返回数据,所以我们从服务器地址为 ***.93.217/api/ldjb/这个地址中获取了返回数据。

  解密返回数据,密钥是将本机IMSI、挂牌,唯一序列号、包名经过一定处理得到的。

  加载网页。加载的网页地址是上面已解析的服务器返回值,根据不同的地区设置不同的Ajax异步请求字段。

  接收MSG_HOLD(网页加载完成)消息。通过加载java代码,实现java与Java互动,调用 onPageDump函数。

  通过加载上方服务器返回的cmd标签值来加载java代码模拟点击,订阅服务。

  服务订阅完成,等待带有确认代码的SMS消息,并使用正则表达式提取短信内容。

  所以工作完成后,将获取的短信、设备、错误码、网络状况等信息上传至服务器。

  1)让你的设备保持最新,最好将它们设置为自动补丁和更新,这样即使你不是最熟悉安全的用户,你也能得到保护。

  2)坚持去正规应用商店下载软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害。

  1)让你的设备保持最新,最好将它们设置为自动补丁和更新,这样即使你不是最熟悉安全的用户,你也能得到保护。

  2)坚持去正规应用商店下载软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害。

  声明:该文观点仅代表作者本人,搜狐号系信息发布平台,搜狐仅提供信息存储空间服务。



    友情链接:

Copyright 2018-2021 主页 版权所有,未经授权,禁止转载。