Android Cerberus kötü amaçlı örnek analizi
Editörün notu: Android Cerberus kötü amaçlı Truva Atı'nın çevirisi ile ilgili bazı teknik bilgileri daha önce derlemiştik.Aynı zamanda, Beijing LianAn'ın güvenlik teknisyenleri Truva atı örneklerinin profesyonel ve ayrıntılı bir analizini gerçekleştirdi ve ayrıntılı bir teknik makaleyi tamamladı. Bu makale, Android istemci geliştiricilerinin ve güvenlik teknisyenlerinin okuması ve anlaması için çok uygundur.
Bu makale ilk olarak FreeBuf'ta yayınlandı. FreeBuf, Çin'de önde gelen bir İnternet güvenliği yeni medyasıdır ve aynı zamanda meraklıların güvenlik teknolojilerini paylaşması ve paylaşması için bir topluluktur. Gönderilen tüm makalelerin onaylanmadan önce ilgili alandaki uzmanlar tarafından incelenmesi ve onaylanması gerekir. Bu makale FreeBuf'a gönderildikten ve uzmanları tarafından incelendikten sonra nihayet yayınlandı, bu makalenin teknik içeriğini ve değerini de yansıtıyor ve umarım sektördekilere yardımcı olur.
Bu makalenin FreeBuf'taki bağlantısı için lütfen "orijinal metni okuyun" u tıklayın.
Android Cerberus Kötü Amaçlı Örnek Analizi Kötü Amaçlı Örnek Özelliği İşlemine Genel Bakış Bellek Şifre Çözme Yeni dex Bölgesi Beyaz Liste Gizli Simge Zamanlama Tetikleyici Canlı Tut Yayın Adım Sayma Mekanizması C2 Sunucusu Güncelleme Saldırı Komutu ile İletişimi Tetikle Pil Optimizasyonunu Yoksay SMS Mesajı Etkinleştirme Cihaz Yöneticisi Arka Plan Hizmeti Başlatmayı Etkinleştir Erişilebilirlik hizmeti, metin mesajlarını dinlemek, cihaz kilidini etkinleştirmek, yardımcı hizmet durumunu yüke güncellemek ve erişilebilirlik hizmetinin yayılma mekanizmasını özetlemek için izin ister Truva atı referans makalesi
Android Cerberus kötü amaçlı örnek analizi
Bir süre önce, İnternette dolaşan Cerberus Truva atı ailesinin yeni varyantları vardı. İnternette yeni varyantları bulamayan Truva atı örneklerini aradım. Bunun yerine, Haziran 2019'da açıklanan bir grup örnek buldum. İşte derinlemesine analiz için örneklerden biri. Cerberus Truva Atı'nın çalışma mekanizmasına bir göz atalım.
Cerberus Truva Atı'na ayrıntılı bir giriş için bir önceki makaleyi okuyabilirsiniz: https://mp.weixin.qq.com/s/UewBO4RgTlh9vBKzqYXEcQ
Kötü niyetli örnek özellikleri
Örnek adı: Flash PlayerUygulama paketi adı: com.uxlgtsvfdc.zipvwntdy
SHA-256: 728a6ea44aab94a2d0ebbccbf0c1b4a93fbd9efa8813c19a88d368d6a46b4f4f
Sürece genel bakış
Kötü amaçlı örneğin yürütme süreci kabaca aşağıdaki gibidir:
Bellek şifre çözme yeni dex
Android uygulamaları, kullanmak için AndroidManifest.xml dosyasında kullandıkları hizmetleri, yayın alıcılarını ve etkinlik bileşenlerini bildirmelidir. Derlenmiş Cerberus kötü amaçlı örneğinde, onun tarafından kullanılan hizmetlerin, yayın alıcılarının ve etkinliklerin ana dex dosyasında olmadığı açıktır, bu nedenle temel dex dosyasının bellekte dinamik olarak şifresinin çözüldüğü yargılanabilir.
Truva atının temel kodu, bellekteki eşleşen dex dosyasının özelliklerini araştırarak ve şifresi çözülmüş dex'i belleğe atarak elde edilir.
Bölgesel beyaz liste
Kötü amaçlı örnek, yeni dex dosyasının şifresini çözüp yayınladıktan sonra, virüs bulaşmış mevcut kişinin bulunduğu ülkenin beyaz listede olup olmadığını belirler, beyaz listede ise kötü niyetli davranış gerçekleştirilmez.Beyaz listedeki ülkeler şunlardır: Ukrayna, Rusya, Beyaz Rusya, Tacikistan, Özbekistan, Türkmenistan, Azerbaycan, Ermenistan, Kazakistan, Kırgızistan, Moldova vb.
Simgeyi gizle
Virüs bulaşan kişi beyaz listedeki ülkede değilse, kötü amaçlı yazılım daha fazla çalıştırılır. Etkilenen kişinin kötü amaçlı uygulamayı kaldırmasını önlemek için, giriş bileşenini cep telefonu masaüstünde görünmez hale getirmek için simgeyi gizler.Zamanlama tetikleyicisi canlı tutma yayını
Kötü amaçlı yazılım, yüksek frekanslı sistem yayın olaylarını bildirim dosyasına kaydederek ve sistemde sürekli etkinliği sağlamak için kendi yayın olaylarını göndermek üzere sistem saatini zamanlayarak basit bir canlı tutma mekanizması uygular.
Adım sayma mekanizması C2 sunucusu ile iletişimi tetikler
Canlı tutma yayın alıcısı bileşeninde, Truva Atı ve C2 sunucusu arasındaki iletişimi tetiklemek için basit bir adımsayar uygulanır.
Saldırı komutunu güncelle
Adım sayısı eşiğe ulaştıktan sonra, C2 sunucusunun saldırı komutlarını çekmek için HBOxMrf Truva atı hizmetini başlatın. CC sunucu adresi: Mevcut hizmet artık erişilebilir değil .İstemci ile C2 sunucusu arasındaki etkileşim süreci aşağıdaki gibidir:
1. Önce C2 sunucusu tarafından verilen saldırı komutunu çekin.
2. Yanıt komutu || hayır || ise, C2 sunucusuna kaydolun ve bir broyler cihazı olun
3. Komut || youNeedMoreResources || içeriyorsa, yükü indirin ve data / data / paket adı / apk / system.apk dosyasına kaydedin.
4. Saldırı komutunu yüke güncelleyin ve saldırının tamamlanmasını bekleyin.
Pil optimizasyonunu yoksay
Cerberus Truva Atı, düzenli olarak canlı tutma yayınlarını tetiklemenin yanı sıra, sistemde kötü amaçlı faaliyetler gerçekleştirmeye devam etme olasılığını artırmak için kendini pil optimizasyonu beyaz listesine ekler.
SMS mesajlarına kulak misafiri ol
Canlı tutma yayın alıcısı aynı zamanda SMS mesajı türünde sistem yayınlarını da alır.Bu tür bir yayını alırken, SMS içeriğini ve göndereni okur ve SMS mesajlarını çalmak için daha sonraki kötü niyetli faaliyetlere hazırlanmak için bunları yapılandırma dosyasına kaydeder.
Cihaz yöneticisini etkinleştirin
Cerberus Truva Atı, virüs bulaşan kişinin simgeyi gizleyerek kendisini kaldırmasını engellemenin yanı sıra, cihaz yöneticisinin yetkisini etkinleştirerek virüs bulaşan kişinin kendisini kaldırmasını da engeller.Aynı zamanda diğer güvenlik yazılımlarının Cerberus Truva Atı'nı öldürüp kaldırmasını da engeller.
Arka plan hizmetini başlat
Erişilebilirlik hizmetlerini teşvik etmek
Cerberus Truva Atı'nın tüm hassas işlemleri, büyük ölçüde erişilebilirlik hizmetlerinin etkinleştirilmesine dayanır ve virüs bulaşmış kişileri erişilebilirlik hizmetlerini yetkilendirmeye ikna etmek için "erişilebilirlik hizmeti arabirimini" dolaştırır.
SMS'i dinleme izni isteme
SMS mesajlarını ve kişileri çalmak için izin isteyin.Cihaz kilidini etkinleştirin
LockDevice etiketine göre cihaz kilitleme işlemlerini gerçekleştirin.
Yardımcı hizmet durumunu yük olarak güncelleyin
Erişilebilirlik hizmeti
Erişilebilirlik hizmeti etkinleştirildikten sonra, arabirim öğelerini izler ve izinlerin kendi kendine yetkilendirmesini ve cihaz yöneticisinin etkinleştirilmesini tamamlamak için arabirim yetkilendirme düğmesine tıklamayı simüle eder. Aynı zamanda, Truva atlarının algılanmasını ve kaldırılmasını önlemek için arabirim etkinliğinin güvenlik taramalarından geçip geçmediğini ve kötü amaçlı yazılımların kaldırılıp kaldırılmadığını izler. İzleme arayüzünün hedef etkinliği açıp açmayacağı ve arayüz kaçırma saldırısı işlemini tamamlamak için bunu yüke bildirmesi dahil.Kullanıcı tarafından kaldırılmasını önlemek için cihaz yöneticisinin aktivasyonunu tamamlamak için erişilebilirlik hizmetindeki aktivasyon düğmesini tıklamayı simüle edin ve ayrıca cihazın daha sonra kilitlenmesi için izin desteği sağlayın.
Arayüzün Google Play koruma mekanizması tarafından taranıp taranmadığını izleyin ve eğer öyleyse, algılanmasını önlemek için bir geri dönüş olayı gönderin.
Mevcut ön plandaki etkinliği izleyin ve ilgili saldırı işlemlerini gerçekleştirmek için bunu yüke gönderin.
Truva atı yayma mekanizması
Cerberus Truva Atı'nın yazarı, Twitter'da, yayılmasının, kullanıcıları kötü amaçlı Truva atlarını indirip yüklemeye teşvik etmek için Flash Player biçiminde kimlik avı web sitelerini kullandığını belirtti. Kullanıcıların, kimlik avı veya saldırı saldırılarını önlemek için web sitesindeki uygulamaları indirirken web sitesinin orijinalliğine ve güvenliğine özel dikkat göstermeleri önerilir. .
sonuç olarak
Kötü amaçlı Cerberus Truva Atı, güvenlik personelinin analizine karşı koymak için dizi gizleme, yürütme akışı gizleme, kodların dinamik yüklemesi, dizelerin dinamik şifresini çözme ve basit bir adımsayar mekanizmasının uygulanmasını kullanır. Aynı zamanda, cep telefonu ekranının içeriğindeki değişiklikleri izlemek, kendi kendine yetkilendirme için tehlikeli izin yetkilendirme düğmesine tıklamayı simüle etmek, kullanıcının güvenlik taramasını ve kendi kendini koruma için kaldırma davranışını izlemek ve kontrolü tamamlamak için ön uç uygulama etkinliği arayüzünü izlemek için Android erişilebilirlik hizmetlerinin ekran izleme işlevini kullanır. Hedef kaçırma saldırısı.Ne yazık ki bu analiz için, C2 sunucusunun kapatılması nedeniyle çekirdek yük kodu ve ilgili kötü niyetli talimatlar alınamadı ve bu da Truva atı saldırı mekanizmasının daha kapsamlı bir analizini yapmayı imkansız hale getirdi. Ancak, yük, saldırıyı tamamlamak için hala erişilebilirlik hizmetine güveniyor.Cerberus Truva atı ailesinin yeni varyantlarının da bu özelliğe güveneceğine inanıyorum. Bu nedenle, Android cihazları günlük kullanırken ayarlardaki erişilebilirlik hizmeti anahtarının dikkatlice etkinleştirilmesi önerilir.
Cerberus, Android platformunda hala nispeten aktif yeni bir Truva atı türüdür.Yazarı, kiralayarak para kazanır ve aynı zamanda, bu Truva atını satın almaya yönelik kötü niyetli katılımcıları çekmek için karaborsada ve Twitter'da Truva atı içeriğini teşvik eder.
Bu tür bir Truva atı son derece zararlıdır.İlgili yazılımı indirirken, sıradan kullanıcılar öncelikle bu tür kötü amaçlı yazılımların kimlik avı saldırıları tarafından indirilmesini önlemek için yazılım kaynağının güvenilirliğini sağlamak için web sitesinin gerçekliğini doğrulamalıdır.
