日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
新型Android惡意軟件冒充為"系統(tǒng)更新"竊取用戶數(shù)據(jù)

本周,Zimperium zLabs 的研究人員對(duì)外發(fā)出警告,提醒 Android 用戶注意一款復(fù)雜的新型惡意軟件。

這個(gè)新的惡意軟件會(huì)將自己偽裝成用于系統(tǒng)更新(System Update)的應(yīng)用程序,誘騙用戶下載。一旦用戶下載了該惡意軟件,該軟件就會(huì)竊取數(shù)據(jù)、信息、照片并控制 Android 手機(jī),不僅可以竊取用戶設(shè)備上已有的數(shù)據(jù),黑客還可以偷偷錄制音頻和通話、拍攝照片和訪問用戶地理位置等。

經(jīng)過調(diào)查,研究人員發(fā)現(xiàn)這個(gè)假冒的"System Update"是一個(gè)功能極其復(fù)雜的惡意軟件,并且通過向 Google 確認(rèn),該應(yīng)用僅在第三方應(yīng)用商店上架,從未在 Google Play Store 上出現(xiàn)過。

該移動(dòng)應(yīng)用程序?qū)?Android 設(shè)備構(gòu)成威脅,其功能是作為遠(yuǎn)程訪問木馬(RAT)接收并執(zhí)行命令,收集和上傳各種數(shù)據(jù),并執(zhí)行如下的各種惡意行為:

  • 竊取即時(shí)通訊工具的信息;
  • 竊取即時(shí)通訊工具數(shù)據(jù)庫文件(如果有 root 權(quán)限);
  • 檢查瀏覽器的書簽和搜索記錄;
  • 搜索特定后綴的文件(包括.pdf、.doc、.docx 和 .xls、.xlsx);
  • 檢查剪貼板數(shù)據(jù);
  • 檢查通知的內(nèi)容;
  • 錄制音頻;
  • 錄制電話;
  • 定期拍照(通過前置或后置攝像頭);
  • 列出已安裝的應(yīng)用程序;
  • 竊取圖像和視頻;
  • 監(jiān)視 GPS 位置;
  • 竊取手機(jī)聯(lián)系人;
  • 竊取通話記錄;
  • 竊取設(shè)備信息(如安裝的應(yīng)用程序、設(shè)備名稱、存儲(chǔ)統(tǒng)計(jì));
  • 通過將圖標(biāo)從設(shè)備的抽屜/菜單中隱藏起來來隱藏其存在。

安裝后(來自第三方商店,而不是 Google Play Store),設(shè)備的詳細(xì)信息會(huì)被注冊(cè)到 Firebase 命令和控制(Command and Control,C&C)服務(wù)器端,其中會(huì)包括是否存在 WhatsApp、電池電量百分比、存儲(chǔ)狀態(tài)、從 Firebase 消息傳遞服務(wù)接受到的 token 以及網(wǎng)絡(luò)連接的類型。

該惡意軟件有"update" 和 "refreshAllData"兩個(gè)選項(xiàng)用于更新設(shè)備信息,兩者的區(qū)別在于, "update "僅收集設(shè)備信息并發(fā)送給 C&C,而"refreshAllData"還會(huì)生成一個(gè)新的 Firebase 令牌并進(jìn)行數(shù)據(jù)外泄。獲取受害者的網(wǎng)絡(luò)連接類型是因?yàn)樵谑褂?Wi-Fi 時(shí),所有竊取數(shù)據(jù)都會(huì)被發(fā)送到 C&C,而當(dāng)受害者在使用移動(dòng)數(shù)據(jù)連接時(shí),只有特定的一組數(shù)據(jù)被發(fā)送到 C&C。

通過 Firebase 消息服務(wù)接收到的命令會(huì)啟動(dòng)設(shè)備上的一些功能,在此過程中 Firebase 通信只用于發(fā)布命令,專用的 C&C 服務(wù)器通過 POST 請(qǐng)求來收集竊取的數(shù)據(jù)。

惡意軟件將收集的內(nèi)容作為加密的 ZIP 文件上傳到 C&C 服務(wù)器,一旦收到 C&C 服務(wù)器接收上傳文件“成功”的響應(yīng)后,便會(huì)在本地刪除文件。

該惡意軟件還十分關(guān)注收集數(shù)據(jù)的“新鮮度”,會(huì)自動(dòng)拋棄特定時(shí)間之前的老舊數(shù)據(jù)。例如,從 GPS 或網(wǎng)絡(luò)(以較新的為準(zhǔn))收集位置數(shù)據(jù),如果此最新值距離收集信息的時(shí)間已超過 5 分鐘,則它會(huì)決定再次從頭開始收集和存儲(chǔ)位置數(shù)據(jù)。使用設(shè)備的相機(jī)拍攝的照片也是如此,它只會(huì)上傳 40 分鐘以內(nèi)的數(shù)據(jù)。

如果用戶對(duì)設(shè)備進(jìn)行了 root,則間諜軟件還會(huì)通過從 WhatsApp 中復(fù)制文件來竊取 WhatsApp 數(shù)據(jù)庫文件。

Zimperium 研究人員認(rèn)為,從竊密手法多樣性及躲避偵測(cè)的技巧來看,這個(gè)間諜軟體能力可謂罕見。目前 Zimperium 也已經(jīng)公布了 C&C 服務(wù)器地址,以供安全人員偵測(cè)。

C&C 服務(wù)器:

  • hxxps://mypro-b3435.firebaseio.com
  • hxxps://licences.website/backendNew/public/api/

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題:新型 Android 惡意軟件冒充為"系統(tǒng)更新"竊取用戶數(shù)據(jù)

本文地址:https://www.oschina.net/news/135223/android-malware-posing-as-system-update


本文名稱:新型Android惡意軟件冒充為"系統(tǒng)更新"竊取用戶數(shù)據(jù)
文章URL:http://www.5511xx.com/article/coijsdc.html