Google Play上的AndroidFoulGoal.A间谍软件分析

Golden Cup

这款恶意软件名叫“Golden Cup”,主要在Google Play利用市廛中进行传播

天下杯的余热还未散去,但近期安然专家却发清楚明了一个针对天下杯足球球迷的特工软件活动实际上,使用当前热门变糊弄作为社工技巧的内容核心着实并不算新颖,而Golden Cup这一次使用的是“天下杯”这个举世范围内的足球盛典

外面上,Golden Cup可以不雅看足球视频(包括直播)和球队比分以及积分环境,但实际上,当目标设备成功安装好Golden Cup之后,它便会在目标设备上安装特工软件McAfee Mobile Security将这一要挟标记为Android/FoulGoal.A,不过广大年夜用户无须担心,Google已经将这款恶意利用法度榜样从Google Play下架了

值得一提的是,Golden Cup给用户出现出的赛事数据滥觞于合法的Web办事,然则它在后台却会将用户的数据信息发送给另一台由进击者节制的恶意办事器

数据捕捉

GoldenCup能够从目标用户的设备中网络到下列加密数据:

1.手机号码;

2.已安装的数据包;

3.设备型号、制造商和序列号;

4.可用的内部存储空间;

5.设备ID;

6.Android版本信息;

7.IMEI和IMSI;

因为这款特工软件会从远程资本加载dex文件,是以钻研职员觉得这只是它网络信息的第一个阶段App会跟其敕令节制办事器进行连接,并考试测验下载、解压和解密第二阶段的操作敕令

Android/FoulGoal.A能够检测屏幕是否处于亮起状态,并将相关信息记录在其内部文件scrn.txt之中,用字符串“on”或“off”来标记用户是否在查看自己的手机屏幕:

在数据传输的历程中,受感染设备与远程敕令节制办事器(进击者节制的)的通信信道采纳的是消息行列步队遥测传输协议(MQTT)

数据解密

在将用户数据发送给恶意办事器之前,恶意软件会采纳AES算法对用户数据进行加密在恶意软件的代码中,Cryptor类认真对数据进行加密和解密操作此中,doCrypto函数是一个老例函数,第一个参数“1”代表加密,“2”代表解密模式:

加密历程中,加密密钥是经由过程SecureRandom函数动态天生的,该函数会在设备上天生一个独一值来对网络到的数据进行肴杂处置惩罚addKey函数认真将加密密钥嵌入至加密数据中,接下来,带有密钥的数据将会被上传到恶意办事器中:

安然钻研专家觉得,这款恶意软件的开拓者之以是要应用这种AES加密技巧来进行数据传输,主如果想躲避Google Bouncer以及其他收集平安产品的检测数据显示,今朝至少有三百台设备感染了Golden Cup恶意软件,感染高峰期在2018年6月8号至12号之间,也便是俄罗斯天下杯开赛之前

第二阶段

进击的第二阶段使用了一个加密的dex文件,该文件带有.data后缀,由第一阶段的恶意软件下载并动态加载该文件会应用相同的机制进行提取,并用来向恶意办事器上传加密后的用户文件

解密密钥的存储位置可以经由过程识别第一阶段恶意软件中的内容大年夜小以及固定命值来查找解密之后,我们可以看到out.dex文件为压缩款式,dex文件带有的特工软件功能能够从受感染设备中偷取短信信息、通讯录、多媒体文件和设备地舆位置信息

第二阶段所应用的敕令节制办事器跟第一阶段所应用的并不是同一台,然则采纳的加密措施和办事器目录布局却是相同的在阐发历程中,钻研职员还在恶意办事器中发清楚明了一名用户的GPS定位信息以及录音文件(.3gp)

恶意软件变种

必要留意的是,钻研职员还发清楚明了两个Golden Cup变种,而这两个拌种版本都是由同一开拓者上传到Google Play市廛中的虽然Google现在已经将这三款App下架了,但照样已经有大年夜量用户感染了Golden Cup,由于经由过程对其恶意办事器的阐发来看,这些App今朝仍生动在某些用户的设备上

钻研数据注解,虽然举世范围内都有用户下载了这款恶意软件,但主要的下载量照样中东地区的用户供献的,是以受此活动影响最大年夜的应该是中东地区的同伙们

今朝,McAfee Mobile Security已经将该要挟标记为了Android/FoulGoal.A,并且能够识别该恶意软件要挟的所有变种版本

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包