IT技術互動交流平台

极速快三APP官网

作(zuo)者︰阿里移動安全(quan)  發布(bu)日期︰2020-02-27 16:18:18

一.App劫持病毒介紹

App劫持是指(zhi)執行流程被重定向,又可分為Activity劫持、安裝劫持、流量劫持、函數(shu)執行劫持等。本(ben)文將對(dui)近期利用Acticity劫持和安裝劫持的病毒進(jin)行分析。

二.Activity劫持病毒分析

极速快三APP官网

Activity劫持是指(zhi)當啟動某個(ge)窗口組件時(shi),被惡意(yi)應用探知,若該me)翱誚緱媸嵌(qian)褚yi)程序預設的攻擊對(dui)象,惡意(yi)應用將啟動自(zi)己仿冒的界面覆蓋原界面,用戶在毫(hao)無(wu)察覺的情況下(xia)輸入登錄信息,惡意(yi)程序在把獲取的數(shu)據返回給服務端。

以MazarBOT間諜木(mu)馬為例,該類(lei)木(mu)馬有一下(xia)幾個(ge)特點︰

偽裝成系統短信應用,啟動後請求(qiu)激活設備管(guan)理權限,隨後隱藏圖標(biao); 利用Tor與C&C控制中心(xin)進(jin)行xin)涿ㄐ牛 鐘髁糠治觶C&C控制中心(xin)下(xia)發指(zhi)令(ling)進(jin)行手機控制、update html、以及信息收集; 通過服務器動態獲取htmlData,然後實施界面劫持,獲取用戶賬號信息;

以下(xia)是C&C控制中心(xin)指(zhi)令(ling)列表(biao)︰

我們(men)發現zhi)媚mu)馬能接(jie)受並處理一套完整的C&C控制指(zhi)令(ling),並且使用Tor進(jin)行xin)涿luo)通信,使得流量數(shu)據的來源和目(mu)的地不是一條路徑直接(jie)相連,增加對(dui)攻擊者身份(fen)反溯的難度(du)。結(jie)下(xia)來我們(men)將詳(xiang)細分析該木(mu)馬界面劫持過程。

极速快三APP官网

入口梳理首先看到(dao)axml文件。WorkerService服務處理C&C控制中心(xin)下(xia)發的”update html”指(zhi)令(ling),同時(shi)後台監控頂層(ceng)運行的Activity,若是待劫持的應用將會(hui)啟動InjDialog Acticity進(jin)行頁(ye)面劫持。

圖axml信息

下(xia)圖是後台服務對(dui)頂層(ceng)Acticity監控過程,若是待劫持應用則啟動InjDialog進(jin)行劫持。getTop函數(shu)做了(liao)代碼兼容性處理,5.0以上的設備木(mu)馬也可以獲取頂層(ceng)Acticity的包名。

圖後台監控

InjDialog Activity通過webView加載偽造的html應用界面,調用webView.setWebChromeClient(new HookChromeClient())設置html頁(ye)面與Java交互,在偽造的Html頁(ye)面里調用prompt把JS中的用戶輸入信息傳遞(di)到(dao)Java,HookChromeClient類(lei)重寫onJsPrompt方法(fa),處理用戶輸入信息,最後將劫持的用戶信息通過Tor匿名上傳到(dao)指(zhi)定域名。

圖劫持用戶信息

圖上傳劫持信息

三.應用安裝劫持病毒分析

极速快三APP官网

安裝劫持病毒通過監听(ting)android.intent.action.PACKAGE_ADDED和android.intent.action.PACKAGE_REPLACED intent實施攻擊,包括兩(liang)種手段(duan),一種是卸dui)厴shan)除(chu)掉真(zhen)正(zheng)安裝的apk,替換為攻擊者偽造的應用;另外(wai)一種是借用用戶正(zheng)在安裝的這個(ge)消(xiao)息,悄(qiao)悄(qiao)的安裝自(zi)己推(tui)廣的其他應用。這個(ge)過程就像(xiang)你平時(shi)喝(he)的“六個(ge)核桃”,某天你居然喝(he)到(dao)“七個(ge)核桃”。

极速快三APP官网

該應用是一款名為”FlashLight”的應用,程序包名︰com.gouq.light,應用圖標(biao)如下(xia)︰

极速快三APP官网

.App 應用Application類(lei),加載Assest目(mu)錄下(xia)加密(mi)jar包,獲取接(jie)口ExchangeImpl對(dui)象,在jar里實現接(jie)口函數(shu)onApplicationCreate、triggerReceiver、triggerTimerService;啟動核心(xin)服務LightService;

.LightService 應用核心(xin)服務,可外(wai)部調用啟動LightTiService,達到(dao)替換進(jin)程名,以及am啟動服務以自(zi)身保活;

.LightTiService 由LightService啟動,該服務會(hui)調用動態加載包里的triggerTimerService接(jie)口方法(fa),完成對(dui)以安裝應用的刪(shan)除(chu)、當前(qian)設備信息上傳、從(cong)服務器下(xia)載待安裝應用;

.AppReceiver 廣播接(jie)收器,通過加載的jar包里triggerReceiver接(jie)口方法(fa)實現,處理android.intent.action.PACKAGE_ADDED和android.intent.action.PACKAGE_REPLACED intent查看安裝跟新應用是否是劫持應用,若是通過execCmd進(jin)行安裝劫持。

下(xia)圖安裝劫持過程,通過監听(ting)應用的安裝和更新,實施關聯(lian)的其他應用的mu)jing)默安裝。

圖安裝劫持

上圖可以知道此惡意(yi)應用借用安裝或更新intent,安裝預設的關聯(lian)應用,這樣(yang)在安裝完畢(bi)後用戶並不清楚哪個(ge)是剛(gang)真(zhen)正(zheng)安裝的應用,這樣(yang)增加了(liao)推(tui)廣應用點擊運行的幾率。

四(si).怎(zen)麼(me)cong)行?fang)治App劫持或安全(quan)防(fang)護建議

針對(dui)企(qi)業用戶︰

作(zuo)為一名移動應用開發者,要防(fang)御APP被界面劫持,最簡單的方法(fa)是在登錄窗口等關鍵Activity的onPause方法(fa)中檢測(ce)最前(qian)端Activity應用是不是自(zi)身或者是系統應用。

當然,術業有專攻,專業的事情交給專業的人(ren)來做。阿里聚安全(quan)旗下(xia)產品安全(quan)組件SDK具有安全(quan)簽名、安全(quan)加密(mi)、安全(quan)存儲、模擬器檢測(ce)、反調試、反注入、反Activity劫持等功能。 開發者只需要簡單集成安全(quan)組件SDK就可以有效解決上述登錄窗口被木(mu)馬病毒劫持的問題,從(cong)而幫助用戶和tui)qi)業dao)jian)少損失。

針對(dui)個(ge)人(ren)用戶︰

安裝阿里錢盾(dun)保護應用免(mian)受App劫持木(mu)馬威脅(xie)。

作(zuo)者︰逆巴@阿里移動安全(quan),更多技術文章(zhang),請點擊阿里聚安全(quan)博客

Tag標(biao)簽︰病毒  
  • 极速快三APP官网

About IT165 - 廣告服務 - 隱私聲(sheng)明 - 版權申明 - 免(mian)責條款 - 網站地圖 - 網友投稿 - 聯(lian)系方式(shi)
本(ben)站內容來自(zi)于(yu)互聯(lian)網,僅供用于(yu)網絡(luo)技術學習(xi),學習(xi)中請遵循相關法(fa)律法(fa)規
极速快三APP官网 | 下一页