Kaçınılamayan kırmızı bomba bu sefer gerçekten "patladı"
Bir arkadaşın düğün davetiyesini aldıktan sonra, genellikle pahalı ve kaçınılması sakıncalıdır, bu nedenle davet genellikle kırmızı bomba olarak da bilinir ve bu sefer kırmızı bomba gerçekten patladı!
Yukarıdakiler bu ay gerçekleşen bir kısa mesajdır.Bir arkadaşınızdan yukarıdaki gibi bir kısa mesaj alırsanız, içerideki elektronik davetiye bağlantısına tıklayın, bir APK yazılımı indirilecektir.AP dosyasına tıklamaya devam ederseniz ve bir Android telefon kullanıyorsanız, , O zaman gerçekten vuruldun.
0x01 örnek ters analizi
Bu cep telefonu Truva atı örneğinin işlevlerinin çoğunu tersine çevirin, kırmızı bombanın nasıl patladığına bir göz atalım.
Derlenmiş kod gizlenmiştir.Truva atının ana işlevi, işlev sembolü adları olmayan bu karmaşık kodlardadır.
1) Kullanıcı SMS ve adres defteri verilerini çalın
Yapılandırma bilgileri esas olarak şunları içerir:
Uzaktan kontrol için kullanılan cep telefonu numarası, kurbanın kişilerini ve SMS gizlilik verilerini almak için e-posta hesabı ve şifre, Truva atının hayatta kalması için son tarih (son tarihten sonra, Truva Atı artık çalışmayacaktır) ve birçok boole durumu parametresi vardır. Kişi ve SMS verilerinin gönderilip gönderilmediği, cihaz yöneticisi izninin etkinleştirilip etkinleştirilmediği vb.
DeviceId, model ve sistem sürümü gibi mobil cihaz bilgilerini edinin.
Sonraki örneklemin ana işlevi, ilki SMS ve iletişim verilerini çalmak:
2) SMS'i ele geçirmek için com.phone.stop6.service.BootService adlı hizmeti başlatın
Uzaktan kumanda SMS komutlarını analiz edin:
SMS kanca işlevi önce alınan SMS'in saldırganın cep telefonundan olup olmadığını belirler ve eğer saldırgandan geliyorsa uzaktan kumanda komutunu ayrıştırır (uzaktan kumanda komutu boşluklarla birden çok alana bölünmüştür, ilk alan komut kontrol kelimesidir ve aşağıdaki Komut parametresi), SMS saldırgandan değilse, SMS'in saldırgana ayarlanan izleme düzeyine göre iletilip iletilmeyeceğine karar verilir.
Üç SMS uzaktan kumanda komutu vardır:
Komut LJ: SMS izleme seviyesini yapılandırın, ALL parametresi tüm izleme anlamına gelir; SOME parametresi kısmi izleme anlamına gelir; NO parametresi izleme olmadığı anlamına gelir
Command LOOK: TIME parametresi, başlangıçta ayarlanan Truva atının hayatta kalma süresini belirtir; PHONE parametresi, cihaz kimliği ve telefonun sistem sürümü gibi cihaz bilgilerini gösterir.
Komut GÖNDER: Kurbanın cep telefonunu SMS göndermek için kontrol edin, 1. parametre, gönderilen cep telefonu numarası ve 2. parametre, gönderilen SMS'in içeriğidir.
Uzaktan kumanda metin mesajlarının alınmasını bilinçsiz hale getirmek için telefonun sesi kapatılacak ve titreşim kapatılacak, saldırganın gönderdiği uzaktan kumanda metin mesajları silinecektir.
3) Truva Atı'nın ana davranış süreci
0x02 Truva atlarının teknik yüzleşme ve aldatma davranışı
Masaüstü simgelerini gizleyen, titreşimi ve sesi kapatan ve yapılandırma dosyalarını şifreleyen yukarıda belirtilen Truva Atı'na ek olarak, çeşitli teknik karşı önlemler ve aldatmacalar da vardır.
1) Mağduru cihaz yöneticisini etkinleştirmesi için kandırarak ve cihaz yöneticisindeki boşluklardan yararlanarak, kaldırılması imkansızdır.
Cihaz yöneticisi güvenlik açığından yararlanın: onDisableRequested işlevini yeniden yazmak için DeviceAdminReceiver'ı devralın, tehdit mesajını geri getirin, devre dışı bırakma iletişim kutusunu açılır ve ardından kullanıcının iletişim kutusunu çalıştıramaması için Etkinliği değiştirin ve devre dışı bırakma gerçekleştirilemez, böylece APP'yi kaldıramama amacına ulaşılır
2) Truva Atı çalıştıktan sonra, masaüstü simgesi gizlenir ve ardından kullanıcıyı APP'nin yüklü olmadığı konusunda yanıltan bir aldatıcı mesaj açılır.
3) Kullanıcı uygulamayı kaldırmaya çalışırsa, aldatıcı bir mesaj çıktıktan sonra kaldırma işlemi sonlandırılacaktır.
4) Truva atı yazarına gönderilen SMS'de hassas kelimeleri filtreleyin ve gizlemeyi geliştirin
5) Anahtar gizlemeyi geliştirmek için şifreleme anahtarlarının birden fazla eklenmesi
6) Güvenlik yazılımı tarafından statik taramayı önlemek için dinamik olarak hassas API'leri edinin
0x03 Zararlılık
Alıcı e-posta hesabı ve parolası şifrelenmiş ve yapılandırma dosyasına kaydedilmiş olsa da, orijinal alıcı e-posta hesabı parolası yine de tersine çevrilebilir.
Mektubu alın, büyük miktarda mağdur gizlilik verisi bulabilirsiniz
Saldırgan, kurbanın cep telefonunu uzaktan kontrol etti ve solucan benzeri yayılma sağlamak için gruplar halinde Truva atı bağlantıları göndermeye devam etti.
Saldırganın banka bakiye bilgilerini tarayarak "yüksek kaliteli" dolandırıcılık hedeflerini seçebilmesi ve özel sohbet bilgilerinin derinlemesine anlaşılmasından sonra hedeflenen sahtekarlığı uygulayabilmesi ve başarı oranının ve gelirinin büyük ölçüde iyileştirilmesi düşünülebilir (Truva atı yazarı her iki tarafın karşılıklı alışverişini dikkatlice oluşturulmuş şekilde uzaktan kontrol edebilir SMS içeriği, belirtilen SMS'i korur)
0x04 izlenebilirlik
Tersine yapılan incelemede, posta kutusu altında çok sayıda alan adının kayıtlı olduğu tespit edildi.Siyah şapkalı SEO ile çeşitli kimlik avı ve dolandırıcılık siteleri oluşturuldu.
Sahte web siteleri:
Sahte sertifika için başvurun:
Porno web siteleri, Truva atları ile birlikte gelen oyuncuları hile indiriyor
Kumar sahtekarlığı siteleri
Çıplak sohbet dolandırıcılığı
Takip edin
Truva atı yazarının posta kutusunun oturum açma günlüğünden, Hangzhou, Shenzhen, Tianjin ve diğer bölgelerde IP'ler bulduk. Yazar, oturum açmak için bir VPN kullanmalı ve ardından Truva atını ve türünün uzaktan kumandalı cep telefonu numarasını sorgulamalıdır. Truva atı yazarının Shenzhen'de olma olasılığı Seks daha büyük. Uzaktan kumandalı cep telefonunun yerini tespit ederek, belirli bir kişiyi kesinlikle takip edebilirsiniz.Bunlar benim yapabileceğim şeyler değil, bu yüzden izlenebilirliği durduracağım ...
0x05 Son
Posta kutusu ayrıca zaman zaman kurbanın kişisel gizlilik verilerini de alacaktır. Cep telefonu Truva Atı solucanlar aracılığıyla yayılır ve güçlü üreme yeteneğine sahiptir. Saldırganın özel verileri derinlemesine anladıktan sonra, hedeflenen dolandırıcılık için "yüksek kaliteli" nesneler seçmek çok zararlıdır. Ve şimdi hesap kaydı, iptal, şifre değişikliği, telefon bankacılığı kimlik doğrulaması vb. Gibi birçok senaryo, cep telefonlarında doğrulama kodlarını alma biçimine dayanıyor.Truva atı SMS'i ele geçiriyor ve SMS yoluyla uzaktan kontrol edilebiliyor. Tehdit yeteneği çok büyük. , Zararın derecesi saldırganın hayal gücüne bağlıdır ...
Son olarak, bilinmeyen kaynaklardan gelen bağlantılara istediğiniz zaman tıklamamanız ve APP'leri daha dikkatli bir şekilde kurmanız önerilir, APP'leri yalnızca resmi veya güvenilir uygulama pazarlarından indirebilir ve yükleyebilir ve genel cep telefonu güvenlik yazılımını yükleyebilirsiniz.
[Orijinal: Kaçınılamayan kırmızı bomba, bu sefer gerçekten "patladı", MottoIN editörü tarafından düzenlendi ve yayınlandı]Orijinal makale, yazar: Moto, http: //www.mottoin.com/article/terminal/84499.html adresinden yeniden üretilmiştir.
