专栏名称: Le想安全
最新的安全技术和安全漏洞播报,最前沿的安全资讯传播,尽在轩辕攻防实验室
目录
相关文章推荐
哲学王  ·  中国最“风流”的男人,半个文坛的偶像:他的人 ... ·  昨天  
掌上春城  ·  突然飙涨近120%!一天一个价! ·  2 天前  
云南广播电视台  ·  政策有变!事关你的驾驶证! ·  2 天前  
慧田哲学  ·  陈嘉映:现在的年轻人,只有竞争,没有自由 ·  3 天前  
昆明信息港  ·  没有特效药,酒精对它无效!多地紧急提醒 ·  4 天前  
51好读  ›  专栏  ›  Le想安全

反间谍之旅001

Le想安全  · 公众号  ·  · 2019-10-17 08:00

正文

导读: 何为“间谍”? 《说文解字》解释道: “谍,军中反间也。 ”使用反间计当然需要三寸不烂之舌,这是“谍”的本义。 “间”怎么会跟“谍”联系起来了呢? “间”本来写作“闲”,清代文字训诂学家段玉裁为《说文解字》所作的注释说: “开门月入,门有缝而月光可入。 ”因此“间”的本义就是门缝,泛指缝隙,有缝隙就可以使用反间计了,故称“间谍”。
间谍软件是一种能够在用户不知情的情况下,在其电脑上安装后门、收集用户信息的软件。 近日研究员在Google Play上发现了首款基于AhMyth(安卓远控木马工具)的间谍软件。 这款恶意软件名为RB Music,是一款为Balouchi音乐爱好者提供流媒体广播的应用程序。 但是在后台,这款应用会监视用户的行为和数据。 窃取用户联系人信息、短信信息、收集存储在设备上的文件以及利用设备发送短信。
一、样本信息

MD5: ef9346f9cd1d535622126ebaa1008769

程序名称: RB music

程序包名 com.radiobalouch.rbmusic

恶意行为: 该间谍软件通过C&C通信,根据控制端发送的不同指令,执行窃取用户联系人信息、短信信息、收集存储在设备上的文件以及利用设备发送短信恶意行为。 并在用户注册登录时窃取用户登录凭证。

二、间谍软件远控框架

客户端通过解析控制端发送的指令order执行获取联系人信息、短信信息、文件信息以及发送短信等不同操作并将收集的信息发送至控制端: http://rad***ouch.com。

图1 间谍软件远控框架

三、 病毒技术原理分析

1. 权限管理

程序开始运行申请访问设备照片、媒体内容、文件权限,申请拨打和管理电话权限,申请访问通讯录权限。 如果用户不给予相应权限,程序再次申请。

图2 权限管理

如果用户已授予读取联系人权限,则获取联系人列表信息并发送至服务器:

http://rad***ouch.com/Debugging/process/process/resolving/system/ReadAllTracks.php。

图3 获取联系人信息并发送

如果程序申请的所有权限已被授予,则启动主界面程序。 程序在申请权限之前启动了ServiceM服务,该服务用于建立控制端与服务器通信,客户端根据接收的控制端指令执行不同操作来获取用户数据。

图4 启动ServiceM服务

ServiceM服务内部通过在catch内调用startAsync()函数实现实时监听连接。

图5 控制端与客户端通信

2. 远程控制

应用通过在程序启动时启动服务ServiceM和通过在开机广播MyReceiver中启动服务ServiceM来与控制端http://radi****ouch.com建立通信。

图6 开机启动广播MyReceiver

初始化socket,配置参数,监听连接。

图7  Socket初始化、监听连接

当控制端与客户端已建立连接,控制端通过发送的不同指令收集用户联系人信息、短信信息、文件信息并发送短信。

图8 远控主体程序

解析指令order
当getString(order)==x0000cn时,获取联系人信息。

图9获取联系人信息

解析指令order

当getString(order).getString(extra)==ls时,获取用户短信信息。

图10 获取短信信息

解析指令order
当getString(order).getString(extra)==ls 时,遍历指定文件file=getString(order).getString(path)目录、获取文件名称、路径等信息。

图11 获取文件信息

解析指令order
当getString(order).getString(extra)==dl时,下载指定文件file=getString(order).getString(path)。

图12 下载指定文件

解析指令order

当getString(order).getString(extra)==sendSMS时,发送短信,将 短信内容发送至指定号码

图13 发送短信给指定联系人

将获取的联系人信息、文件信息、短信信息发送至控制端 http://rad***louch.com

图14 发送获取的数据

3.  获取凭证

获取用户登陆时输入的邮箱账号和密码信息,并上传至服务器:

http://radi****uch.com/Debugging/process/process/resolving/system/login.php。

图15 获取用户登录凭证并发送

获取用户注册时输入的邮箱账号、密码及姓名信息,并发送至服务器:

http://ra****ouch.com/Debugging/process/process/resolving/system/signup.php

图16 获取用户注册信息并发送

任何“注册”都是没有意义的,因为任何输入都会将用户带入“登录”状态。 由此可以看出应用添加注册登录功能仅仅为了获取受害者登录凭证。

4.  应用传播

应用具有分享app给通讯录联系人的功能,当用户点击分享app时,将带有应用下载地址链接的短信发送给联系人。







请到「今天看啥」查看全文


推荐文章
哲学王  ·  中国最“风流”的男人,半个文坛的偶像:他的人生太好玩了
昨天
掌上春城  ·  突然飙涨近120%!一天一个价!
2 天前
云南广播电视台  ·  政策有变!事关你的驾驶证!
2 天前
慧田哲学  ·  陈嘉映:现在的年轻人,只有竞争,没有自由
3 天前
昆明信息港  ·  没有特效药,酒精对它无效!多地紧急提醒
4 天前
娱乐说  ·  地表最“尴尬”喜剧人大潘,就这样霸屏了一整年
8 年前
哎咆科技  ·  iPhone 7P枕边充电半夜自燃
7 年前
中国生物技术网  ·  上海生科院等设计出高效精确基因靶向整合的新策略
7 年前
美女帮  ·  长腿美女,性感翘臀让人魂不守舍。。。。
7 年前
上海译文  ·  英语国际音标,你真的会了吗?
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!