IT技術互動(dong)交(jiao)流平台

安(an)卓(zhuo)變(bian)僵尸︰新型病(bing)毒“維京部落”分zhi)/h1>
作者︰Check Point ,FB小編Sphinx編譯  發布日(ri)期︰2020-02-27 12:48:33

 Check Point研(yan)究團隊在Google Play Store發現zhi)艘豢鐶碌a href="http://www.it165.net/pro/ydad/" target="_blank" class="keylink">Android病(bing)毒,並(bing)取名(ming)為Viking Horde(維京部落)。這款病(bing)毒能夠執行廣告欺詐(zha),還能進行DDoS攻擊、發送垃圾信息(xi)等。至(zhi)少(shao)已經有5款應用通過了Google Play的病(bing)毒掃描。

無論(lun)是在已root或(huo)是未root的設(she)備上,Viking Horde都會創建一個僵尸網絡,用經過代理的IP地址偽裝廣告點擊,這樣(yang)攻擊者就能賺錢。僵尸網絡是一組由黑(hei)客控制的設(she)備,設(she)備的用戶毫不知情(qing)。根據設(she)備的計算能力不同(tong),“僵尸”能做各種各樣(yang)的事。僵尸網絡越大,能夠做的事lue)蕉唷/p>

在已root的設(she)備上,Viking Horde能夠傳輸(shu)額外的惡意payload,從(cong)而遠(yuan)程執行任意代碼(ma),它還會利(li)用root權限使(shi)得自(zi)身難以(yi)刪除。

湖北彩票官网

Viking Horde系列病(bing)毒中(zhong)下lue)亓孔zui)大的就是Viking Jump應用,自(zi)4月(yue)15日(ri)上傳到GooglePlay,該應用已經有50,000-100,000的下lue)亓苛恕S行┐胤降氖諧 zhong),Viking Jump還登上了Google Play免費應用men)判邪瘛/p>

提交(jiao)最(zui)早的應用是Wi-Fi Plus,于3月(yue)29日(ri)提交(jiao)。其他的應用包(bao)括Memory Booster, Parrot Copter, 和Simple 2048。所有感染Viking Horde的應用的評分都很低,研(yan)究團隊猜測(ce)可能是因為用戶注意到了它奇(qi)怪(guai)的行為,例如(ru)請求root權限。

攻擊者們創建的僵尸網絡散(san)布在全世(shi)界各個國家(jia),Check Point研(yan)究團隊通過一個C&C服務(wu)器收集的數據獲得了其受害者的分布情(qing)況。

來源︰Check Point移動(dong)威脅研(yan)究團隊,2016年5月(yue)6日(ri)

湖北彩票官网

研(yan)究Viking Horde代碼(ma)和C&C服務(wu)器後,研(yan)究人員(yuan)bei) 雋肆 掏肌/p>

1.病(bing)毒首先從(cong)Google Play上下lue)亍5dang)應用啟動(dong)游(you)戲(xi)時,它會在應用的目錄外面安(an)裝幾個組件。這幾個組件的名(ming)字都被(bei)偽裝成系統(tong)相關的名(ming)字,如(ru)core.bin,clib.so, android.bin 和 update.bin。如(ru)果設(she)備沒有root,組件就會被(bei)安(an)裝到SD卡上,如(ru)果已經root了,就會安(an)裝到root/data。這些文件中(zhong)的一個是用來在各組件交(jiao)換信息(xi)的。另一個包(bao)含所有生成的組件名(ming)稱,方便(bian)其他組件訪問它們。

2.接下來病(bing)毒會檢(jian)查設(she)備是否(fu)已經root︰

如(ru)果是,病(bing)毒就會啟動(dong)另外兩(liang)個組件︰

app_exec.實現與服務(wu)器的通訊(xun)協議(yi)

app_exec_watch_dog實現更(geng)新和系統(tong)駐(zhu)足。Watchdog 會監控app_exec 進程,如(ru)果有必要會重啟。

如(ru)果設(she)備沒有被(bei)root,惡意軟件就會以(yi)共享庫(ku)加載app_exec文件,並(bing)且通過JNI(Java Native Interface,能夠允(yun)許Java代碼(ma)運行本地二(er)進制文件)來調用它的函數。

無論(lun)哪種情(qing)況下,一旦app_exec應用被(bei)安(an)裝,它就會與C&C服務(wu)器建立TCP連接並(bing)且開(kai)始(shi)通信。通信內容包(bao)含下列指令。

Ping。每10秒應用程序就會給服務(wu)器發送5個字節。同(tong)樣(yang),服務(wu)器會回復5個字節。

更(geng)新設(she)備信息(xi)︰hang) Syu)電量、連接類型和手(shou)機號碼(ma)發送給服務(wu)器。

3. 下一步就是通過匿名(ming)代理連接執行惡意功能。C&C服務(wu)器會發送一個“create_proxy”命(ming)令,其中(zhong)會有兩(liang)個IP地址和端口(kou)作為參數。這兩(liang)個IP地址就會被(bei)用來打開(kai)兩(liang)個sockets連接,一個給遠(yuan)程服務(wu)器,一個給遠(yuan)程目標。然後它會讀取第(di)一個socket收到的數據,向目標主機傳輸(shu)。病(bing)毒的開(kai)發者可以(yi)借此隱(yin)藏他的IP地址。

湖北彩票官网

即便(bian)設(she)備沒有被(bei)root,Viking Horde還是會把它變(bian)成能夠發送接收信息(xi)的代理。以(yi)下就是一個從(cong)攻擊者的C&C服務(wu)器上看(kan)到的感染的設(she)備。

遠(yuan)程端是代理的IP,而socks IP是C&C服務(wu)器的IP。C&C服務(wu)器包(bao)含設(she)備的一些信息(xi),包(bao)括操作系統(tong)版(ban)本、電池狀態和GPS坐標。在本例中(zhong),設(she)備位于美國,運營商是T-Mobile。

湖北彩票官网

僵尸網絡由很多台C&C服務(wu)器控制,每台都管(guan)理者幾百台的設(she)備。惡意軟件的首要目標是劫(jie)持設(she)備,然後用它模擬(ni)點擊網站上的廣告來賺錢。惡意軟件需要代理來繞過廣告商的反欺詐(zha)機制。

有些用戶評論(lun)還說這款應用會發送收費xun)絛牛 ru)截圖所示。 這個僵尸網絡能用以(yi)各種用途,包(bao)括DDoS攻擊、發送垃圾郵shi)頭?筒bing)毒。

湖北彩票官网

病(bing)毒使(shi)用多種方法駐(zhu)足在系統(tong)中(zhong)。首先,Viking Horde安(an)裝的那些組件使(shi)用了跟系統(tong)有關的名(ming)字,使(shi)得它們很難xun)ㄎ簧境/p>

如(ru)果設(she)備經過root,有兩(liang)項(xiang)機制又可以(yi)用來防(fang)止刪除︰

 

app_exec組件會監控主程序是否(fu)存在。如(ru)果用戶卸載了主程序,app_exec會解密一個名(ming)為com.android.security的組件並(bing)且靜默安(an)裝。這個組件是隱(yin)藏的,重啟之後執行。

watchdog組件會安(an)裝app_exec組件的更(geng)新。如(ru)果app_exec被(bei)刪除,watchdog會從(cong)更(geng)新目錄重新安(an)裝它。

顯然,有些用戶還注意到了這樣(yang)的活動(dong)︰

湖北彩票官网

可能最(zui)危險的功能就是更(geng)新機制︰app_exec從(cong)服務(wu)器下lue)刈zui)新的二(er)進制文件,然後以(yi)app_exec_update的名(ming)字儲(chu)存在/data目錄。

Watchdog會周期性(xing)地檢(jian)查更(geng)新文件是否(fu)存在,並(bing)且用它替換app_exec。這就意味(wei)著VikingHorde可以(yi)根據服務(wu)器的命(ming)令下lue)匭碌畝er)進制文件。watchdog組件會用它替換掉應用。這樣(yang)的話這台設(she)備上就可以(yi)下lue)?蔥腥魏臥yuan)程代碼(ma)。

湖北彩票官网

com.Jump.vikingJumpcom.esoft.wifipluscom.fa.simple2048com.android.wifimanCom.g.o.speed.memboostCom.f.a.android.flyingcopters

湖北彩票官网

 www[.]adautoexchange[.]com www[.]adexchng[.]com www[.]adexchnge[.]com www[.]adexchangetech[.]com

湖北彩票官网

85e6d5b3569e5b22a16245215a2f31df1ea3a1eb4d53b4c286a6ad2a46517b0c254c1f16c8aa4c4c033e925b629d9a74ccb76ebf76204df7807b84a593f38dc0ebfef80c85264250b0e413f04d2fbf9e66f0e6fd6b955e281dba70d53613961910d9fdbe9ae31a290575263db76a56a601301f2c2089ac9d2581c9289a24998aa13abb024863dc770f7e3e5710435899d221400a1b405a8dd9fd12f62c4971de1dd08afbf8a9e5f101f7ea4550602c40d1050517abfff11aaeb9a90e1b2caea1e284a7329066e171c88c98be9118b2dce4e121b98aa418ae6232eaf5fd3ad521

 

Tag標簽︰維京  僵尸  病(bing)毒  

  • 湖北彩票官网

About IT165 - 廣告服務(wu) - 隱(yin)私聲明 - 版(ban)權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯系方式(shi)
本站內容來自(zi)于互聯網,僅供(gong)用于網絡技術學習,學習中(zhong)請遵循(xun)相關法律法規
湖北彩票官网 | 下一页