• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

新型安卓木马SpyNote生成器遭泄露

安全技术 网络收集 1年前 (2016-12-29) 281次浏览 0个评论

  近日,Palo Alto Networks 威胁情报团队 Unit42 宣布发现一类新型安卓木马 SpyNote,该木马可执行远程入侵功能,其生成器近日在多个恶意软件论坛上遭泄露。 SpyNoted 与知名的 RAT (Remote Administration Tools, RAT) 程序 OmniRat 和 DroidJack 相类似,令恶意软件所有者能够对 Android 设备实施远程管理控制。

  与其他 RAT 一样,SpyNote 有如下主要特征,

  Ÿ   无需 Root 访问权限

  Ÿ   安装新的 APK 并更新恶意软件

  Ÿ   将设备上的文件复制到电脑上

  Ÿ   浏览设备上全部信息

  Ÿ   监听设备来电

  Ÿ   获取设备上的联系人列表

  Ÿ   借助设备麦克风监听或者录制音频

  Ÿ   控制设备摄像头

  Ÿ   获取 IMEI 串号、Wi-Fi MAC 地址以及手机运营商信息

  Ÿ   获取设备最后一个 GPS 定位信息

  Ÿ   拨打电话

新型安卓木马 SpyNote 生成器遭泄露

  图一,SpyNote 控制面板

  SpyNote 安装包要求受害者接受并准许 SpyNote 执行诸多操作,包括:编辑文本信息、读取通话记录和联系方式、修改或删除 SD 卡内容,已有证据显示 SpyNote 将内容上传至恶意软件分析网站 VirusTotal 和 Koodous,如下,

  Ÿ   https://www.virustotal.com/en/file/f0646b94f1820f36de74e7134d0bb9719a87afa9f30f3a68a776d94505212cbd/analysis/

  Ÿ   https://analyst.koodous.com/apks/f0646b94f1820f36de74e7134d0bb9719a87afa9f30f3a68a776d94505212cbd

  分析

  安装成功后,SpyNote 便将该应用的图标从受害者设备上抹去,这充分表明 SpyNote 的生成器应用是用.NET 开发的。

  该应用未做掩饰处理,也不受任何掩饰工具或保护工具的保护。

新型安卓木马 SpyNote 生成器遭泄露

  图二,反编译 SpyNote 生成器

  鉴于使用的端口编号与视频中(视频地址为 https://www.youtube.com/watch?v=E9OxlTBtdkA)所演示的毫无二致,以及上传程序仅仅修改了 APK 的图标而已,上传程序在使用 SpyNote 时可按照该视频中所描述的方法去操作。

  此外,经过配置,该 RAT 可通过 TCP 端口 2222 进行 C&C 远程命令与控制(IP 地址为 141.255.147.193)的通信,如下图,

新型安卓木马 SpyNote 生成器遭泄露

  图三,借助 Cerbero profiler 实现 Dalvik 字节码视图

新型安卓木马 SpyNote 生成器遭泄露

  图四,SpyNote 开启套接字链接

  基于我们已掌握的信息,现在我们已经了解到该恶意软件使用硬编码 SERVER_IP 和 SERVER_PORT values (如图四所示)来实现套接字链接。我们现在可以借助 Androguard (https://github.com/androguard/androguard) 来设计一款 C2 信息提取程序,如下图所示,spynote.C2.py 脚本将这些数值从 APK 文件中解析出来,并将其应用于命令行中,如图五所示。

新型安卓木马 SpyNote 生成器遭泄露

  图五,提取出的命令与控制服务器信息

  #!/usr/bin/python

  import sys

  from sys import argv

  from androguard.core.bytecodes import apk

  from androguard.core.bytecodes import dvm

  #—————————————————

  # _log : Prints out logs for debug purposes

  #—————————————————

  def _log(s):

   print(s)

  if __name__ == “__main__”:

   if (len(sys.argv) < 2):

   _log(“[+] Usage: %s [Path_to_apk]” % sys.argv[0])

   sys.exit(0)

   else:

   a = apk.APK(argv[1])

   d = dvm.DalvikVMFormat(a.get_dex())

   for cls in d.get_classes():

   #if ‘Ldell/scream/application/MainActivity;’.lower() in cls.get_name().lower():

   if ‘dell/scream/application/MainActivity;’.lower() in cls.get_name().lower():

   c2 = “”

   port = “”

   string = None

   for method in cls.get_methods():

          if method.name == ‘‘:

   for inst in method.get_instructions():

   if inst.get_name() == ‘const-string’:

   string = inst.get_output().split(‘,’)[-1].strip(” ‘”)

                         if inst.get_name() == ‘iput-object’:

   if “SERVER_IP” in inst.get_output():

   c2 = string

   if “PORT” in inst.get_output():

                       port = string

   if c2 and port:

   break

   server = “”

   if port:

   server = “{0}:{1}”.format(c2, str(port))

   else:

                   server = c2

   _log(‘C&C: [ %s ]’ % server)

  结论

  安装第三方应用将会危险重重,这些资源缺少如 Google Play Store 这样官方来源的监管,而且,即使有详尽的步骤和算法来去除那些恶意应用程序,这些应用也并非无懈可击。旁加载来自于有问题来源的应用,会把使用者以及他们使用的移动设备曝露于各类恶意软件和数据丢失危险之中。

  到现在为止,我们还没有看到有主动攻击使用了 SpyNote,但我们担心网络罪犯会因为 SpyNote 的轻松易得而开始作恶。现在,Palo Alto Networks AutoFocus 的用户可使用 SpyNote tag 来对该木马进行甄别。

  指示器

  SHA256 of SpyNote Samples

  85c00d1ab1905ab3140d711504da41e67f168dec837aafd0b6327048dd33215e

  ed894f9c6f81e2470d76156b36c69f50ef40e27fd4e86d951613328cdbf52165

  4fb2d8be58525d45684f9ffd429e2f6fe242bf5dbc2ed33625e3616d8773ed0d

  98e2b14896e85362c31b1e05f73a3afddde09bd31123ca10ff1cc31590ac0c07

  51e0d505fb3fba34daf4467ca496bca44e3611126d5e2709441756ba632487f0

  4b60fff88949181e2d511759183cdf91578ece4a39cd4d8ec5da4015bb40cbed

  c064679c42e31a4f340e6a1e9a3b6f653e2337aa9581f385722011114d00aa1e

  3323ff4bcdb3de715251502dfb702547b6e89f7973104b3da648163b73b72eef

  f0646b94f1820f36de74e7134d0bb9719a87afa9f30f3a68a776d94505212cbd

  2ec734fd0f7320b32568ab9c229146a3dab08f951ca5c3114f6af6c77f621929

  4e80d61994ee64dadc35af6e420230575553aba7f650bc38e04f3702b21d67c4

  357ca2f1f3ea144bdd1d2122ec90ed187e8d63eb8a206794e249d5feb7411662

  ac482e08ef32e6cb7e75c3d16a8ea31bcc9bf9400bd9f96b4ec6ed7d89053396

  89a5ebf0317d9a3df545cfd3fbcb4c845ea3528091322fd6b2f7d84d7a7d8ae0


Selinux 中国 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:新型安卓木马 SpyNote 生成器遭泄露
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址