24小时接单的黑客

黑客接单,接单的黑客,如何联系黑客,如何找黑客,黑客服务

2022年04月06日 12:20:00

对WhatsApp中消息自动回复的Android恶意软件分析

0x01 基本简述

大家近期在Google Play上察觉了掩藏在伪造应用程序中的恶意软件,该软件可以根据用户的WhatsApp信息开展散播。假如用户安装了伪造的应用程序并在不经意间授于了恶意软件适度的管理权限,则该恶意软件可以应用从指令和操纵(C&C)网络服务器接受到的高效负荷自动回复受害人的WhatsApp信息。这类与众不同的方式很有可能使网络攻击可以开展互联网中间人攻击,散播虚假信息或从用户的WhatsApp账号中盗取凭证和数据信息这些。

伴随着挪动危害态势的发展趋势,网络攻击一直在寻找开发技术性以发展趋势和取得成功派发恶意软件。在这里特殊主题活动中,大家的分析员工在Google Play应用商城中看到了一种新奇的自主创新故意危害,该威胁根据挪动用户的WhatsApp会话散播,而且还能够根据自动回复传到的WhatsApp信息来推送进一步的故意內容。

科学研究工作人员发觉该恶意软件掩藏在Google Play上名叫“ FlixOnline”的应用程序中。该应用程序是一项伪造服务项目,宣称容许用户在其手机查询来源于全世界的Netflix內容。可是,该应用程序具体目地为监控用户的WhatsApp通告,并采用从远程连接命令和操纵(C&C)网络服务器接受的信息向用户的传到信息推送自动回复,而不是容许挪动用户查询Netflix內容 。

该恶意软件向受害人推送下列回应,引诱给予完全免费的Netflix服务项目:

“完全免费给予2个月的Netflix Premium服务项目,在全球任何地方均可得到2个月的Netflix Premium服务项目。在这儿马上获得: [https:// bit 。] ly / 3bDmzUw。”

运用这些技术性,网络攻击可以实行各种各样故意主题活动:

  • 根据故意连接散播大量恶意软件
  • 从用户的WhatsApp账号中盗取数据信息
  • 将虚报或故意信息散播到用户的WhatsApp手机联系人和组
  • 根据危害向其全部手机联系人推送比较敏感的WhatsApp数据信息或会话来敲诈勒索用户
对WhatsApp中消息自动回复的Android恶意软件分析

图1 – Google Play上的FlixOnline应用程序

0x02 技术指标分析

从Play店铺安装下载该应用程序后,该恶意软件会运行一项服务项目,该服务要求“遮盖对话框”,“电池优化忽视”和“获得通告信息内容”管理权限。得到这种管理权限的目地是:

  • 遮盖对话框容许故意应用程序在别的应用程序以上建立新页面。恶意软件通常会规定那样做,便于为别的应用程序建立伪造的“登陆”显示屏,目地是盗取受害人的凭证。
  • 忽视电池优化可以阻拦恶意软件被机器设备的电池优化方法关掉,即使闲置不用了很长期也是如此。
  • 最显著的授权是“通告”访问限制,更具体地说是“通告窃听器”服务项目。开启后,此管理权限使恶意软件可以浏览与发送至机器设备的信息有关的全部通告,并具备全自动实行特定实际操作(例如对机器设备上受到的信息开展“关掉”和“回应”)的作用。

图2 – FlixOnline管理权限要求

授于管理权限后,该恶意软件会展现它从C&C网络服务器接受到的登陆页面,并马上掩藏其标志,因而没法轻轻松松删掉该恶意软件。这也是根据按时与C&C联络并相对应升级恶意软件配备的业务来进行的。该服务项目可以根据应用各种方式 来利用这种总体目标。例如,可以根据安裝应用程序及其在BOOT_COMPLETED实际操作中申请注册的报警来开启该服务项目,该实际操作在机器设备进行加载全过程以后被启用。

图3和图4 –服务项目申请注册,BOOT_COMPLETE

来源于C&C的回应包括具备下列字段名的配备:

对WhatsApp中消息自动回复的Android恶意软件分析

对WhatsApp中消息自动回复的Android恶意软件分析

图5 –C&C通讯和配备分析

进行此使用后,恶意软件便具备派发合理负荷所需要的一切。根据OnNotificationPosted调整,恶意软件查验初始应用程序的软件包名字,假如该应用程序是WhatsApp,它将解决通告。

对WhatsApp中消息自动回复的Android恶意软件分析

图5 –查验WhatsApp通告

最先,恶意软件撤销通告以将其掩藏给用户,并载入接受到的通告的文章标题和內容。下面,它检索承担内联回应的部件,该组件用以应用从C&C网络服务器接受到的高效负荷推送回应。

图6 –通告解决

对WhatsApp中消息自动回复的Android恶意软件分析

图7 –检索内联回应部件

对WhatsApp中消息自动回复的Android恶意软件分析

图8 –推送回应

0x03 剖析汇总

大家承担地将相关故意应用程序以及科学研究关键点的消息通报了Google,Google快速从Play店铺中删除了该应用程序。在2个月的时间段里,“ FlixOnline”应用程序被安装了大概500次。

这类可感柒蜘蛛的Android恶意软件具备创新性和风险的新技术应用,他们可以自主散播,及其从WhatsApp等受信赖的应用程序中控制或盗取数据信息。必须留意,即使用户好像来源于受信赖的手机联系人或消息传递组,用户也应当心根据WhatsApp或别的消息传递应用程序接到的下载地址或配件。假如用户被感染,则需从机器设备中删掉该应用程序,随后变更其登陆密码。

0x04 IOCs

FlixOnline – 1d097436927f85b1ab9bf69913071abd0845bfcf1afa186112e91e1ca22e32df

C&C – netflixwatch[.]site

程序包名字– com.fab.wflixonline

资格证书– BEC2C0448558729C1EDF4E45AB76B6A3EE6E42B7

文中翻譯自:https://research.checkpoint.com/2021/new-wormable-android-malware-spreads-by-creating-auto-replies-to-messages-in-whatsapp/倘若转截,请标明全文详细地址。

标签:WhatsApp Android 恶意软件 

作者:访客 , 分类:如何联系黑客 , 浏览:1238 , 评论:1

  • 评论列表:
  •  弦久空宴
     发布于 2022-06-06 05:04:42  回复该评论
  • om/2021/new-wormable-android-malware-spreads-by-creating-auto-replies-to-messages-in-whatsapp/倘若转截,请标明全文详细地址

发表评论:

Powered By

Copyright Your WebSite.Some Rights Reserved.