几维安全分析“Xavier”安卓木马:可静默收集数据并远程代码执行
来源:互联网 发布:上帝不会掷骰子 知乎 编辑:程序博客网 时间:2024/05/16 09:11
趋势科技研究发现了一款Android恶意木马——Xavier。在谷歌Play应用市场中,超过800款Android应用感染了该恶意木马,影响数百万Android用户。感染的应用范围覆盖图片编辑器,墙纸和铃声转换器等。受感染的用户绝大多数来自亚洲东南部国家,如越南、菲律宾和印度尼西亚,美国和欧洲的感染人数较少。
对比此前恶意广告木马,Xavier的功能及特征更为复杂。首先他具备远程下载恶意代码并执行的能力。其次,它通过使用诸如字符串加密,Internet数据加密和模拟器检测等方法来保护自己不被检测到。
Xavier窃取用户数据的行为很难被发现,它有一套自我保护机制,来躲避静态和动态的检测分析。此外,Xavier还具有下载和执行其他恶意代码的能力,使它的威胁性大大增加。
■ joymobile
Xavier是恶意广告下载家族的成员之一,它的存在已有2年时间。第一个版本被称为joymobile,出现在2015年年初。joymobile这个版本已经具备执行远程代码的能力。
除了收集和泄露用户信息,它还可以安装其他应用,并在设备root的情况下实现静默安装。
它通过远程命令和C&C服务器来发送和接受信息,并对这些信息没有加密,但是对所有的常量字符串都进行了加密。
■ nativemob
第二个版本命名为nativemob,对比joymobile我们可以发现nativemob的代码重构了,并增加了一些新特新。主要是广告行为和实用程序。虽然没有静默安装,但是需要用户确认安装的程序仍然存在。
它比第一个版本收集更多的用户信息,并通过base64编码发送这些信息到C&C服务器。
nativemob的下一个变种出现在2016年1月左右,它缩减了字符串加密算法,加密了从远程服务器下载的代码,并添加了一些反射调用。
紧接着在2月份,它更新了各方面的广告模块设置,并出于某种原因删除了数据加密。
在接下来的几个月里进行了进一步更新。但是这些更新对于广告库没有进行重大更改。
Xavier技术分析:
Xavier的变体出现在2016年9月,它的代码更加精简。第一个版本重去除了APK安装和root校验,但是加入了TEA加密算法。
很快它添加了避免动态检测的机制,其结构如下:
一旦加载Xavier,它将从C&C服务器hxxps://api-restlet[.]comrvices5/得到初始化配置,并使其加密。
服务器还对响应数据进行加密:
解密后,我们可以看到它实际上是一个json文件:
V代表SDK版本
L代表SDK URL地址
G代表SDK Sid
S代表 SDK设置
Au与ad配置相关
Xavier将从hxxp://cloud[.]api-restlet[.]com/modulesb[.]zip下载SDK并读取配置。但是,lib.zip不是一个完整的压缩包。
在得到lib.zip压缩包之后,Xavier在压缩包里加入0x50 0x4B头,并把它命名为xavier.zip的有效文件。
Xavier.zip包含加载和调用它的classes.dex文件。
…
保护措施:
1、提防可疑和陌生的应用软件,即便是从官方应用市场下载的。尽量下载知名的应用软件。
2、在下载应用程序之前,查看应用程序需要授权的权限,并了解其他用户的评论。
3、建议在手机上安装安全软件,可以有效检测并阻止恶意软件,及时升级系统和app的版本。
文章地址:http://www.kiwisec.com/news/detail/59439bc7131c530a50380810.shtml
- 几维安全分析“Xavier”安卓木马:可静默收集数据并远程代码执行
- 网银安全控件远程代码执行漏洞分析
- 【安卓静默安装手段分析】
- 在LoadRunner向远程Linux/Unix执行命令行并收集性能数据
- Android安全--webview远程代码执行漏洞
- 安卓静默安装
- 安全普及:关于网络远程控制和木马的几点误区
- file include 文件包括漏洞,毒化日志,并生成木马,执行系统命令 dvwa低安全
- 最新IE远程代码执行漏洞分析
- Joomla远程代码执行漏洞分析
- ImageMagick远程代码执行漏洞分析
- Ngnix空子节可远程执行代码漏洞
- Microsoft Outlook 漏洞:可允许远程代码执行
- 安卓自动更新,静默更新,替换友盟更新可以在通知栏里显示更新下载进度,几行代码快速实现Android下载更新
- 支付宝木马安卓短信窃取者分析
- 安卓WebView中接口隐患(远程代码执行漏洞)与手机挂马利用
- android安全之webview远程代码执行漏洞
- Python数据分析常用代码收集
- React.js 官方文档摘记:表单
- RCNN中的bounding box regression详解
- java jdbc简单的 curd
- lvs、haproxy、nginx 负载均衡的比较分析
- mac下编译protobuf c++
- 几维安全分析“Xavier”安卓木马:可静默收集数据并远程代码执行
- Spring mvc 源码解析之初始化
- 安卓自定义日历选择器
- Nginx、LVS及HAProxy负载均衡软件的优缺点详解
- selenium IDE 测试示例
- 在VS2015下配置libvlc并实现一个简单RTSP的播放器
- jsonp, 跨域请求
- python函数学习--函数的四种传参方式
- centos7搭建hadoop集群