注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 2194|回复: 0

[黑客新闻] 谷歌应用商店又曝3款恶意APP,被指出自黑客组织“响尾蛇”之手

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
45267
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   583 小时
   最后登录
   2020-3-29
发表于 2020-1-14 00:08:20 来自手机 | 显示全部楼层 |阅读模式
8167F93D-09B3-4539-A5B4-583C76F6C1D3.png
日前,网络安全公司趋势科技(Trend Micro)在谷歌应用商店中发现了3款恶意APP,他们可以协同工作以破坏安装者的设备并收集用户信息。

值得注意的是,其中一个名为“Camero”利用了CVE-2019-2215这个漏洞,该漏洞存在于Binder(安卓操作系统系统中的主要进程间通信系统)中。趋势科技表示,这还是他们首次观察到该漏洞被用于网络攻击。

进一步的调查表明,这3款APP有很大可能出自黑客组织“响尾蛇”(SideWinder,也被称T-APT-04)之手。SideWinder是一个老牌黑客组织,自2012年以来一直保持活跃,据说主要攻击目标是巴基斯坦的军事实体。

有效载荷安装

根据趋势科技的说法,有效载荷的安装分为两个阶段。

第一阶段:从命令和控制(C2)服务器下载一个DEX文件(一种安卓文件格式),C2服务器地址经过Base64编码。
完成此步骤后,下载的DEX文件将下载并安装一个APK文件。
接下来,3款APP中的Camero和FileCrypt Manger将被用于充当第一阶段Dropper,从C2服务器下载额外的DEX文件。

然后,充当第二阶段dropper的DEX文件会调用额外的代码,以在设备上下载、安装和启动有效载荷——callCam。

有效载荷分析

callCam启动后,首先会隐藏自身图标,然后收集如下信息并将它们上传到C2服务器:

地理位置
电池状态
设备上的文件
已安装的APP列表
设备信息
传感器信息
摄像头信息
屏幕截图
账户
Wifi信息
微信、Outlook、Twitter、YahooMail、Facebook、Gmail和Chrome数据

与SideWinder的关联

这3款APP之所以被认为出自SideWinder之手,是因为它们所使用的C2服务器被怀疑是SideWinder基础设施的一部分。

此外,趋势科技在SideWinder的其中一台C2服务器上也找到了链接到APP之一的谷歌商店页面的网址。


图5.在其中一台C2服务器中找到的FileManager谷歌商店网址

目标设备及漏洞利用

据称,这三款APP仅适用于运行Android 1.6以上系统的部分安卓设备,这其中就包括了Google Pixel(Pixel 2、Pixel 2 XL)、Nokia 3(TA-1032)、LG V20(LG-H990)、OppoF9 (CPH1881)以及Redmi 6A。

此外,为获取ROOT权限,APP还会涉及到利用漏洞CVE-2019-2215和MediaTek-SU。

由此可见,想要避免遭受黑客入侵、网络攻击以及恶意软件的侵害,及时安装更新以修复漏洞,会是一种很好的主动防御措施。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表