欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

阿拉伯木马成功汉化,多款APP惨遭模仿用于攻击

来源:本站整理 作者:佚名 时间:2020-01-20 TAG: 我要投稿

近日,奇安信病毒响应中心在日常样本监控过程中发现了一批伪装成点读通.apk、作业帮.apk、手机找回.apk、PUBG.apk等国内用户常用软件的MobiHok家族样本。
样本在执行过程中为了迷惑用户会安装内置的正规APK,真正的恶意程序则隐匿执行,用户在此过程中一般感觉不到异常,从而窃取用户短信、联系人、通话记录、地理位置、键盘记录、文件目录、应用信息、手机固件信息、录音、录像、截屏、拨打电话、发送短信等。
基于奇安信的多维度大数据关联分析,我们已经发现国内有用户中招,为了防止危害进一步扩散,我们对该远控木马进行了详细分析,并给出解决方案。
MobiHokRAT简介
MobiHok最早在2019年七月份在地下论坛中被发现,售卖者名为“Mobeebom”,除了在多个阿·拉伯语地下论坛活跃之外,售卖者还通过FaceBook、youtube进行宣传,在FaceBook进行宣传时同样使用了阿拉伯文。

YouTube中拍摄了各个版本的运行视频和一些安全机制绕过方法:

目前V4版本已经免费,在其官网上可以下载,其余版本收费情况如下,价格不菲:

相关证据表明在V4版本免费之后,国内使用该家族的团伙逐渐变多,且V4版本就可以绕过华为、三星、Google Play安全机制和FaceBook身份验证。奇安信监控的数据如下:

V4版本主控端界面如下:

Mergin App项中可以嵌入任意正规APP。
样本分析
相关样本如下:

申请的权限:

该远控APK木马功能复杂,在执行过程中会运行内置正规Apk软件来迷惑用户,可以从资源中dump出正规的apk文件:

安装后为作业帮app:

而木马则在手机中隐秘执行,监听电池变化的广播,每当电池电量有变化时,计算百分比,并获取充电类型:

获取手机网络链接类型:

测试是否能访问www.google.com:

查看屏幕保护的状态:

会静默安装内置的正规APP,并启动:

kforniwwsw0类作为服务在MainActivity中被调用,连接远程C2服务器:

远控功能列表整理如下
指令参数
指令功能
calls_delete
删除通话记录
OpenApp
打开指定app
KeyStart
配置相关
ViewFile
文件查看
WriteFiles
文件写入
fcbkopen()
创建子目录
ConnectedDownloadManager
指定URL下载者
AccountManager()
账户管理
MicrophoneStop()
麦克风停止
ViewFileVideoPlay
浏览视频文件
PlayStop
停止播放
Apps()
枚举安装的app
DelLog
删除日志
GetLog
获取日志
gglopen()
获取指定app信息
SaveEdit
保存编辑
REHost
修改Host
StartServiceGLocation()
启动位置服务
CompressFiles
压缩文件
DownManager
下载者
CallsManager()
通话记录管理
DDownManager

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载