快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

恶意程序具体阐发:不仅仅是利比亚天蝎

媒介

2016年9月,安全厂商Cyberkov发布了名为利比亚天蝎的安全讲演[1],讲演中指出,一批恶意软件通过交际程序Telegram广泛传播,首要针对有影响力的社会绅士以及政治人士。那时,安天挪移安全以及猎豹挪移进行了持续跟进,并发现该恶意软件进行了持续的更新以及改进,攻击的目标国家也从利比亚转移到了其他国家以及区域。该系列恶意软件根据不同的攻击目标进行精心的伪装,充分了解攻击目标的习惯文化以及手机使用习性,引诱目标群体装置,获取大批的隐衷信息,具有很高的构造性以及隐蔽性,下列我们将对该攻击进行具体的说明,以期能够对事故绝可能的勾勒。

恶意程序详细分析:不仅仅是利比亚天蝎

1.简要阐发

安天挪移安全与猎豹挪移联合发现的这批恶意软件,皆为商业RAT软件,首要分类有JSocket RAT ,Droidjack RAT ,Alienspy RAT,该构造通过这些商业RAT软件攻击目标用户,实施隐衷窃取。其仿冒对象有体系应用、工具应用、生活应用、消息应用、宗教应用、交际应用等,并对攻击目标有着深入的了解,详细以下表所示。

恶意程序详细分析:不仅仅是利比亚天蝎

通过拿获的样本可以发现该系列病毒除了攻击利比亚区域,还活跃在伊拉克、巴基斯坦、印度、土耳其等国家以及区域。可见,该构造有着广泛的利益诉求,对热门区域有着深入的关注。

2.攻击事故轴

恶意程序详细分析:不仅仅是利比亚天蝎

该构造的首要活动时间为2015-2016年,在对利比亚目标进行攻击的同时,也进行着其他区域的情报窃取,是一块儿有着广泛传播的事故。同时我们也观察到,在沉静一段时间以后,该构造下的恶意软件又最先活跃。

3.恶意代码道理阐发

MD5:D555FB8B02D7CC7D810F7D65EFE909A0

恶意模块包结构:

恶意程序详细分析:不仅仅是利比亚天蝎

恶意程序详细分析:不仅仅是利比亚天蝎

通过MainActivity加载Controller类:

恶意程序详细分析:不仅仅是利比亚天蝎

Controller这个类为首要恶意类,用于解密出C&C地址以及初始化并加载隐衷窃取的恶意子模块:

恶意程序详细分析:不仅仅是利比亚天蝎

恶意程序详细分析:不仅仅是利比亚天蝎

恶意程序详细分析:不仅仅是利比亚天蝎

擅自摄像:

恶意程序详细分析:不仅仅是利比亚天蝎

子模块包括窃取用户短信、联系人、通话记录、地理地位、阅读器历史记录、手机基本信息、WhatsApp软件信息记录,擅自录音、监听通话、驻留手机体系等举动。

JSocket RAT 道理阐发

MD5:3FDCB70A70571A5745F4EE803443FEBC

该应用一般会在AM文件配置一个广播以及服务用于启动恶意模块:

恶意程序详细分析:不仅仅是利比亚天蝎

恶意模块包结构:

恶意程序详细分析:不仅仅是利比亚天蝎

通过MainService开启首要攻击线程:

恶意程序详细分析:不仅仅是利比亚天蝎

恶意程序详细分析:不仅仅是利比亚天蝎

恶意程序详细分析:不仅仅是利比亚天蝎

从C&C接收遥控指令,解析指令执行相应恶意举动:

恶意程序详细分析:不仅仅是利比亚天蝎    

指令包括窃取短信、联系人信息、通话记录、阅读器书签、GPS地理地位信息、wifi信息、手机设备基本信息、交际应用信息,擅自录音、录像、摄影、下载其他软件、发送短信等举动。

4.总结

近几年,挪移端的定向攻击越来越多,无线黑客,商业间谍软件的低门槛化也使得攻击门槛有了大幅的降低。获取高价值的具有小我私人身份属性的信息,成为恶意攻击中的重要一环;与此同时,由于挪移设备的边界属性以及高社会、高隐衷属性,一旦攻击成功,极有可能导致攻击效果出现雪崩效应,丧失不断扩铺。

而针对高价值用户进行的定向攻击往往是挪移威胁匹敌中的经典长尾问题,尾部安全事故由于其受众明确、攻击意图直接、触及用户重度隐衷的特点,往往给目标受害群体带来了不可估量的丧失。对此安全厂商更需要慎密亲密关注并持续抬举长尾威胁的匹敌能力,真正为用户侧的挪移安全保驾护航。

参考资料:[1] https://cyberkov.com/wp-content/uploads/2016/09/Hunting-Libyan-Scorpions-EN.pdf

*

您可能还会对下面的文章感兴趣: