高级模式   | 热搜 : 资讯  安全  漏洞  工具  系统安全 
查看: 673 | 回复: 0
只看楼主
离线
yfmxo(好ID:4444885)   发表于 2015-12-01 19:08:36     
1#

统计显示在互联网中约有30%的流量都直接或者间接的与色情相关,这就使得许多恶意软件的作者都会将其作为感染大量用户的首要选择。

在最近的数据挖掘中,我们发现移动端恶意软件使用色情(伪装成色情应用)来引诱受害者从而实施诈骗、获取个人数据,以及通过锁定手机来敲诈赎金的数量在不断的增加。本文中我们将主要针对我们最近发现的两款成人主题的恶意程序进行分析。

一、 SMS木马

下面我们来看看中国的SMS木马伪装成的色情App。在安装时,该恶意软件会通过显示随机的成人网站来欺骗用户,从而窃取用户信息并通过后台发送短信到预先设定好的号码上。

· Name : 浴室自拍

· URL:  http://yg-file.91wapbang[.]com/apk/appad/14461771841467103.apk?uid=ef2592f22af8c568f2b2993467a1e21a

· Package Name : com.uryioen.lkhgonsd

· Flagged by 6/53 AVs on VirusTotal at the time of analysis

该恶意软件的图标显示如下:

一旦用户点击了这个图标,用户就会被定向到一个随机的URL。有趣的是,所有的URL都是用base64格式加密的。

Base64 URLs

URL列表:

· http://www.4493[.]com/star/sifang/(aHR0cDovL3d3dy40NDkzLmNvbS9zdGFyL3NpZmFuZy8=)

· http://m.mnsfz[.]com/h/meihuo/(aHR0cDovL20ubW5zZnouY29tL2gvbWVpaHVvLw==)

· http://m.4493[.]com/gaoqingmeinv/(aHR0cDovL20uNDQ5My5jb20vZ2FvcWluZ21laW52Lw==)

· http://www.mm131[.]com/xinggan/(aHR0cDovL3d3dy5tbTEzMS5jb20veGluZ2dhbi8=)

· http://www.5542[.]cc/xingganmeinv/(aHR0cDovL3d3dy41NTQyLmNjL3hpbmdnYW5tZWludi8=)

· http://www.100mz[.]com/a/xingganmeinv/(aHR0cDovL3d3dy4xMDBtei5jb20vYS94aW5nZ2FubWVpbnYv)

· http://m.xgmtu[.]com/( aHR0cDovL20ueGdtdHUuY29tLw==)

该恶意软件会收集用户在后台的所有设备信息,并将其发送到远程C&C(指挥与控制)服务器,如下所示:

C&C服务器发送进一步的指令返回响应如下图所示:

截图中C&C服务器响应显示了恶意软件通过短信发送到该号码时所接收的内容。下面的代码显示出了该恶意软件如何解析这个响应,并开始发送短信的过程:

发送消息后, 该恶意软件会发送另一个POST请求通知C&C服务器这一发送SMS的活动。

· C&C 服务器 – http[:]//www[.]mscdea[.]com:7981

该恶意软件会以每天一次的频率将短信数据POST到C&C服务器。

最后你的手机就会收到各种额外的付费信息。

二、伪装勒索窃取个人信息

该恶意软件会通过向用户显示”儿童色情警告”画面来对某些用户进行恐吓威胁(经常看小电影的大叔),并窃取用户在后台的个人数据,发送到C&C服务器上。

· URL: http://maturefuckporn[.]info/download/kyvcuwc/diper/video.apk (down as of now)

· App Name :  video

· Package Name : com.gi.to

· Flagged by 12/53 AV vendors on VirusTotal

安装了该恶意软件后,屏幕上会出现一个播放器的图标。

一旦用户点击该图标,该恶意软件就会显示如下图的警告页面(该页面伪装成了与经典的FBI/警察勒索页不同的工业控制系统-网络应急响应小组(ICS-CERT)的警告页面):

在该软件中我们并没有发现与锁定设备相关的代码(恶意应用程序如果没有要求管理员权限去锁定设备的话很容易清除的)。

该恶意软件会窃取用户的电子邮箱的收件箱内容、联系人、电子邮箱等内容将其转发到后台的远程C&C服务器。

上面的截图显示了C&C的URI结构代码,文件中包含被盗的数据被发送到远程C&C服务器。如下图所示:

被盗的SMS消息被发送到C&C服务器的一个文件中。

被盗的联系人和电子邮件地址被发送到C&C服务器的一个文件中。

C&C server – http[:]//maturefucklist[.]com

三、总结

目前越来越多的安卓恶意软件利用色情成人主题来引诱受害者,想要要避免此类危害,那么你需要将设置中的“未知源”选项勾选去掉,并始终选择来自可信任的应用商店的应用程序。当然,最重要的还是要能够去分辨这些色情应用背后的真相,不要觉得点开就能撸哦—。—(严肃脸)

*原文地址:zscaler,编译/SecDarker,转载请注明来自OFTEFS - SOSF (VCCCC.CN)

赞 0
    最近浏览:

huller1
2017-08-30

sherry12
2016-08-30

yfmxo
2015-12-01
 
Mersion社区版权声明1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关。
2、本站所有主题由该帖子发布者发表,该帖子作者发布者享有帖子相关版权。
3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者的同意。
4、帖子作者与发布者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
7、文字管理员和版主有权不事先通知发贴者而删除本文。
 
你需要登录入才可以回帖  登入  |  会员注册

备案号: 版权所有:Mersion社区
当前时间:UTC+8:00, 2019-06-26 02:29:04