USDT交易平台

U交所(www.9cx.net),全球頂尖的USDT場外擔保交易平臺。

0x01 基础概述

我们最近在Google Play上发现了隐藏在伪造应用程序中的恶意软件,该软件能够通过用户的WhatsApp新闻举行流传。若是用户下载了伪造的应用程序并在不经意间授予了恶意软件适当的权限,则该恶意软件能够使用从下令和控制(C&C)服务器吸收到的有用负载自动回复受害者的WhatsApp新闻。这种怪异的方式可能使攻击者能够举行网络钓鱼攻击,散布虚伪信息或从用户的WhatsApp帐户中窃取凭证和数据等等。

随着移动威胁形势的生长,攻击者一直在追求开发新手艺以生长和乐成分发恶意软件。在此特定流动中,我们的研究职员在Google Play应用商铺中发现了一种新颖的创新恶意威胁,该威胁通过移动用户的WhatsApp对话流传,而且还可以通过自动回复传入的WhatsApp新闻来发送进一步的恶意内容。

研究职员发现该恶意软件隐藏在Google Play上名为“ FlixOnline”的应用程序中。该应用程序是一项伪造服务,声称允许用户在其手机上查看来自天下各地的Netflix内容。然则,该应用程序现实目的为监视用户的WhatsApp通知,并使用从远程下令和控制(C&C)服务器吸收的内容向用户的传入新闻发送自动回复,而不是允许移动用户查看Netflix内容 。

该恶意软件向受害者发送以下响应,诱使提供免费的Netflix服务:

“免费提供2个月的Netflix Premium免费服务,在天下任何地方均可获得2个月的Netflix Premium免费服务。在这里立刻获取: [https:// bit 。] ly / 3bDmzUw。”

行使这种手艺,攻击者可以执行种种恶意流动:

· 通过恶意链接流传更多恶意软件

· 从用户的WhatsApp帐户中窃取数据

· 将虚伪或恶意新闻流传到用户的WhatsApp联系人和组

· 通过威胁向其所有联系人发送敏感的WhatsApp数据或对话来勒索用户

图1 – Google Play上的FlixOnline应用程序

0x02 手艺剖析

从Play商铺下载并安装该应用程序后,该恶意软件会启动一项服务,该服务请求“笼罩窗口”,“电池优化忽略”和“获取通知信息”权限。获得这些权限的目的是:

· 笼罩窗口允许恶意应用程序在其他应用程序之上确立新窗口。恶意软件通常会要求这样做,以便为其他应用程序确立伪造的“登录”屏幕,目的是窃取受害者的凭证。

· 忽略电池优化可以阻止恶意软件被装备的电池优化例程关闭,纵然闲置了很长时间也是云云。

· 最显着的权限是“通知”接见权限,更详细地说是“通知监听器”服务。启用后,此权限使恶意软件可以接见与发送到装备的新闻相关的所有通知,并具有自动执行指定操作(例如对装备上收到的新闻举行“关闭”和“回复”)的功效。

图2 – FlixOnline权限请求

授予权限后,该恶意软件会显示它从C&C服务器吸收到的登录页面,并立刻隐藏其图标,因此无法轻松删除该恶意软件。这是通过定期与C&C联系并响应更新恶意软件设置的服务来完成的。该服务可以通过使用多种方式来实现这些目的。例如,可以通过安装应用程序以及在BOOT_COMPLETED操作中注册的警报来触发该服务,该操作在装备完成启动历程之后被挪用。

,

Usdt第三方支付平台

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

图3和图4 –服务注册,BOOT_COMPLETE

来自C&C的响应包罗具有以下字段的设置:


图5 –C&C通讯和设置剖析

完成此操作后,恶意软件便具有分发有用负载所需的一切。通过OnNotificationPosted回调,恶意软件检查原始应用程序的程序包名称,若是该应用程序是WhatsApp,它将处置通知。

图5 –检查WhatsApp通知

首先,恶意软件作废通知以将其隐藏给用户,并读取吸收到的通知的题目和内容。接下来,它搜索认真内联回答的组件,该组件用于使用从C&C服务器吸收到的有用负载发送回答。

图6 –通知处置

图7 –搜索内联回复组件

图8 –发送回复

0x03 剖析总结

我们认真地将有关恶意应用程序及其研究细节的信息通知了Google,Google迅速从Play商铺中删除了该应用程序。在2个月的时间里,“ FlixOnline”应用程序被下载了约莫500次。

这种可熏染蠕虫的Android恶意软件具有创新和危险的新手艺,它们可以自行流传,以及从WhatsApp等受信托的应用程序中操作或窃取数据。需要注重,纵然用户似乎来自受信托的联系人或新闻转达组,用户也应小心通过WhatsApp或其他新闻转达应用程序收到的下载链接或附件。若是用户被熏染,则应从装备中删除该应用程序,然后更改其密码。

0x04 IOCs

FlixOnline – 1d097436927f85b1ab9bf69913071abd0845bfcf1afa186112e91e1ca22e32df

C&C – netflixwatch[.]site

软件包名称– com.fab.wflixonline

证书– BEC2C0448558729C1EDF4E45AB76B6A3EE6E42B7

本文翻译自:https://research.checkpoint.com/2021/new-wormable-android-malware-spreads-by-creating-auto-replies-to-messages-in-whatsapp/: 萍乡城事网声明:该文看法仅代表作者自己,与萍乡城事网无关。转载请注明:怎么充值usdt(www.payusdt.vip):对WhatsApp中新闻自动回复的Android恶意软件剖析
发布评论

分享到:

usdt怎么提现(www.payusdt.vip):运气掌握在别人手上了!深圳DYG不敌TES,主场魔咒要来了?
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。