新型安卓木馬SpyNote生成器遭泄露

【移動(dòng)通信網(wǎng)】近日,PaloAltoNetworks威脅情報(bào)團(tuán)隊(duì)Unit42宣布發(fā)現(xiàn)一類新型安卓木馬SpyNote,該木馬可執(zhí)行遠(yuǎn)程入侵功能,其生成器近日在多個(gè)惡意軟件論壇上遭泄露。SpyNoted與知名的RAT(RemoteAdministrationTools,RAT)程序OmniRat和DroidJack相類似,令惡意軟件所有者能夠?qū)ndroid設(shè)備實(shí)施遠(yuǎn)程管理控制。

與其他RAT一樣,SpyNote有如下主要特征,

熚扌鑂oot訪問權(quán)限

煱滄靶碌腁PK并更新惡意軟件

熃璞干系奈募粗頻降縋隕?/p>

熶郎璞干先啃畔?/p>

熂嗵璞咐吹?/p>

熁袢∩璞干系牧等肆斜?/p>

熃柚璞嘎罌朔緙嗵蛘唄賈埔羝?/p>

熆刂粕璞干閬褳?/p>

熁袢MEI串號、Wi-FiMAC地址以及手機(jī)運(yùn)營商信息

熁袢∩璞缸詈笠桓鯣PS定位信息

煵Υ虻緇?/p>

圖一,SpyNote控制面板

SpyNote安裝包要求受害者接受并準(zhǔn)許SpyNote執(zhí)行諸多操作,包括:編輯文本信息、讀取通話記錄和聯(lián)系方式、修改或刪除SD卡內(nèi)容,已有證據(jù)顯示SpyNote將內(nèi)容上傳至惡意軟件分析網(wǎng)站VirusTotal和Koodous,如下,

https://www.virustotal.com/en/file/f0646b94f1820f36de74e7134d0bb9719a87afa9f30f3a68a776

d94505212cbd/analysis/

焗ttps://analyst.koodous.com/apks/f0646b94f1820f36de74e7134d0bb9719a87afa9f30f3a68a776d94

505212cbd

分析

安裝成功后,SpyNote便將該應(yīng)用的圖標(biāo)從受害者設(shè)備上抹去,這充分表明SpyNote的生成器應(yīng)用是用.NET開發(fā)的。

該應(yīng)用未做掩飾處理,也不受任何掩飾工具或保護(hù)工具的保護(hù)。

圖二,反編譯SpyNote生成器

鑒于使用的端口編號與視頻中(視頻地址為https://www.youtube.com/watch?v=E9OxlTBtdkA)所演示的毫無二致,以及上傳程序僅僅修改了APK的圖標(biāo)而已,上傳程序在使用SpyNote時(shí)可按照該視頻中所描述的方法去操作。

此外,經(jīng)過配置,該RAT可通過TCP端口2222進(jìn)行C&C遠(yuǎn)程命令與控制(IP地址為141.255.147.193)的通信,如下圖,

圖三,借助Cerberoprofiler實(shí)現(xiàn)Dalvik字節(jié)碼視圖

圖四,SpyNote開啟套接字鏈接

基于我們已掌握的信息,現(xiàn)在我們已經(jīng)了解到該惡意軟件使用硬編碼SERVER_IP和SERVER_PORTvalues(如圖四所示)來實(shí)現(xiàn)套接字鏈接。我們現(xiàn)在可以借助Androguard(https://github.com/androguard/androguard)來設(shè)計(jì)一款C2信息提取程序,如下圖所示,spynote.C2.py腳本將這些數(shù)值從APK文件中解析出來,并將其應(yīng)用于命令行中,如圖五所示。

圖五,提取出的命令與控制服務(wù)器信息

#!/usr/bin/python

importsys

fromsysimportargv

fromandroguard.core.bytecodesimportapk

fromandroguard.core.bytecodesimportdvm

#---------------------------------------------------

#_log:Printsoutlogsfordebugpurposes

#---------------------------------------------------

def_log(s):

print(s)

if__name__=="__main__":

if(len(sys.argv)<2):

_log("[+]Usage:%s[Path_to_apk]"%sys.argv[0])

sys.exit(0)

else:

a=apk.APK(argv[1])

d=dvm.DalvikVMFormat(a.get_dex())

forclsind.get_classes():

#if’Ldell/scream/application/MainActivity;’.lower()incls.get_name().lower():

if’dell/scream/application/MainActivity;’.lower()incls.get_name().lower():

c2=""

port=""

string=None

formethodincls.get_methods():

ifmethod.name==’’:

forinstinmethod.get_instructions():

ifinst.get_name()==’const-string’:

string=inst.get_output().split(’,’)[-1].strip("’")

ifinst.get_name()==’iput-object’:

if"SERVER_IP"ininst.get_output():

c2=string

if"PORT"ininst.get_output():

port=string

ifc2andport:

break

server=""

ifport:

server="{0}:{1}".format(c2,str(port))

else:

server=c2

_log(’C&C:[%s]’%server)

結(jié)論

安裝第三方應(yīng)用將會(huì)危險(xiǎn)重重,這些資源缺少如GooglePlayStore這樣官方來源的監(jiān)管,而且,即使有詳盡的步驟和算法來去除那些惡意應(yīng)用程序,這些應(yīng)用也并非無懈可擊。旁加載來自于有問題來源的應(yīng)用,會(huì)把使用者以及他們使用的移動(dòng)設(shè)備曝露于各類惡意軟件和數(shù)據(jù)丟失危險(xiǎn)之中。

到現(xiàn)在為止,我們還沒有看到有主動(dòng)攻擊使用了SpyNote,但我們擔(dān)心網(wǎng)絡(luò)罪犯會(huì)因?yàn)镾pyNote的輕松易得而開始作惡。現(xiàn)在,PaloAltoNetworksAutoFocus的用戶可使用SpyNotetag來對該木馬進(jìn)行甄別。

指示器

SHA256ofSpyNoteSamples

85c00d1ab1905ab3140d711504da41e67f168dec837aafd0b6327048dd33215e

ed894f9c6f81e2470d76156b36c69f50ef40e27fd4e86d951613328cdbf52165

4fb2d8be58525d45684f9ffd429e2f6fe242bf5dbc2ed33625e3616d8773ed0d

98e2b14896e85362c31b1e05f73a3afddde09bd31123ca10ff1cc31590ac0c07

51e0d505fb3fba34daf4467ca496bca44e3611126d5e2709441756ba632487f0

4b60fff88949181e2d511759183cdf91578ece4a39cd4d8ec5da4015bb40cbed

c064679c42e31a4f340e6a1e9a3b6f653e2337aa9581f385722011114d00aa1e

3323ff4bcdb3de715251502dfb702547b6e89f7973104b3da648163b73b72eef

f0646b94f1820f36de74e7134d0bb9719a87afa9f30f3a68a776d94505212cbd

2ec734fd0f7320b32568ab9c229146a3dab08f951ca5c3114f6af6c77f621929

4e80d61994ee64dadc35af6e420230575553aba7f650bc38e04f3702b21d67c4

357ca2f1f3ea144bdd1d2122ec90ed187e8d63eb8a206794e249d5feb7411662

ac482e08ef32e6cb7e75c3d16a8ea31bcc9bf9400bd9f96b4ec6ed7d89053396

89a5ebf0317d9a3df545cfd3fbcb4c845ea3528091322fd6b2f7d84d7a7d8ae0


微信掃描分享本文到朋友圈
掃碼關(guān)注5G通信官方公眾號,免費(fèi)領(lǐng)取以下5G精品資料
  • 1、回復(fù)“YD5GAI”免費(fèi)領(lǐng)取《中國移動(dòng):5G網(wǎng)絡(luò)AI應(yīng)用典型場景技術(shù)解決方案白皮書
  • 2、回復(fù)“5G6G”免費(fèi)領(lǐng)取《5G_6G毫米波測試技術(shù)白皮書-2022_03-21
  • 3、回復(fù)“YD6G”免費(fèi)領(lǐng)取《中國移動(dòng):6G至簡無線接入網(wǎng)白皮書
  • 4、回復(fù)“LTBPS”免費(fèi)領(lǐng)取《《中國聯(lián)通5G終端白皮書》
  • 5、回復(fù)“ZGDX”免費(fèi)領(lǐng)取《中國電信5GNTN技術(shù)白皮書
  • 6、回復(fù)“TXSB”免費(fèi)領(lǐng)取《通信設(shè)備安裝工程施工工藝圖解
  • 7、回復(fù)“YDSL”免費(fèi)領(lǐng)取《中國移動(dòng)算力并網(wǎng)白皮書
  • 8、回復(fù)“5GX3”免費(fèi)領(lǐng)取《R1623501-g605G的系統(tǒng)架構(gòu)1
  • 本周熱點(diǎn)本月熱點(diǎn)

     

      最熱通信招聘

    業(yè)界最新資訊


      最新招聘信息