FreeBuf|卡巴斯基:手机广告软件分析
许多用户抱怨未知来源广告软件被安装在手机上 。 广告软件可植入到系统分区中或者在代码级别嵌入到不可删除的系统应用和库中 。 数据显示 , 受恶意软件或广告软件攻击的所有用户中有14.8%的用户系统分区受到感染 。
不可删除广告软件引入设备主要有两种策略:
1、获得设备root权限 , 并在系统分区中安装软件;2、在购买手机前就已经在设备固件之中 。
2019年5月至2020年5月系统分区中存在恶意软件或广告软件的用户地理分布:
本文插图
恶意软件分析Trojan-Dropper.AndroidOS.Agent.pe该混淆木马通常隐藏在处理系统图形界面应用程序或“设置”程序中 ,恶意软件传播植入有效负载 , 有效负载又可以下载运行任意文件 。 其payload功能代码如下:
本文插图
本文插图
Trojan.AndroidOS.Sivu.cSivu木马是伪装成HTMLViewer应用程序的Dropper 。 该恶意软件包含两个模块 , 可以在设备上使用root权限 。 第一个模块在其他窗口顶部和通知中显示广告:
本文插图
第二个模块是后门模块 , 可远程控制智能手机 。 它的功能包括安装 , 卸载和运行应用程序 , 这些应用程序可以根据目标静默安装应用程序 。
本文插图
AdWare.AndroidOS.Plague.f该广告软件应用程序会伪装成系统服务 , 自称Android服务(com.android.syscore) 。 它可以后台下载安装应用 , 也可以在通知中显示广告 。
本文插图
Trojan.AndroidOS.Agent.pacAgent.pac可以模仿CIT TEST应用 , 该应用可以检查设备组件的操作 。 在C&C的命令下 , 它可以运行应用程序 , 打开URL , 下载和运行任意DEX文件(如下图) , 安装/卸载应用程序 , 显示通知并启动服务 。
本文插图
Trojan-Dropper.AndroidOS.Penguin.e该木马程序隐藏在名为STS的应用程序中 , 该应用程序除了显示广告外没有其他功能 。 它可以部署ToastWindow函数 , 该函数类似于SYSTEM_ALERT_WINDOW位于所有应用程序顶部的窗口 。
本文插图
该应用还可以下载运行代码:
【FreeBuf|卡巴斯基:手机广告软件分析】
本文插图
Trojan-Downloader.AndroidOS.Necro.dNecro.d位于系统目录中的本地库 。 它的启动机制内置在另一个系统库libandroid_servers.so中 , 该库处理Android服务的操作 。
木马加载代码:
本文插图
在C&C的命令下 , Necro.d可以下载 , 安装 , 卸载和运行应用程序 , 并在手机中预留后门 。 远程命令执行代码如下:
本文插图
Necro.d可以下载Kingroot:
推荐阅读
- 新机发布|华为新款手机入网:或是华为Mate 30 Pro青春版!
- 5G|挑手机为何要注重性能优势?iQOO 5全方位体验给答案
- 传音|传音新款手机发布:联发科G90T处理器加持!
- 雷军|中兴手机宣布:雷总用中兴A20拍了张自拍,网友说小米雷总比较帅
- 手机|联发科向美申请,出货华为
- iQOO手机|王者玩家的福音来啦!iQOO 5推出KPL官方定制主题
- 华为手机|内行人都会推荐的三款“零差评”华为手机,高配低价太良心
- iQOO手机|电竞玩家爱不释手,高刷+强悍配置,iQOO 5用实力说话
- OPPO手机|骁龙865+8G跌至3299,还有40W无线和65W有线闪充
- 小米手机|原创 闲鱼惊现小米7工程版,卖家开价19999,金色边框好奢华