安全黑客
当前位置:安全黑客文章资讯安全资讯安全新闻
日期:2019-01-09 23:23:00  来源:本站整理

MOBSTSPY间谍软件在Google Play上伪装成Android应用程序[安全新闻]

赞助商链接



  本文“MOBSTSPY间谍软件在Google Play上伪装成Android应用程序[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

ANDROIDOS_MOBSTSPY伪装成合法的Android应用程序来收集用户的信息。这些应用程序可在2018年在Google Play上下载,其中一些已被全球用户下载超过100,000次。
我们最初研究的应用之一是Flappy Birr Dog游戏,如图1所示。其他应用程序还包括FlashLight,HZPermis Pro Arabe,Win7imulator,Win7Launcher和Flappy Bird。自2018年2月以来,其中六分之五的应用程序已在Google Play上暂停使用。截至撰写时,Google已经删除了所有这些应用程序。

图1. Flappy Birr Dog下载页面
一、信息窃取
MobSTSPY能够窃取用户位置、短信对话、通话记录和剪贴板等信息。它使用Firebase云消息传递将信息发送到其服务器
一旦启动,恶意软件将首先检查设备的网络可用性。然后,它从其C&C服务器读取并解析XML配置文件

图2.从C&C服务器获取的配置文件的示例
然后,恶意软件将收集某些设备信息,例如所使用的语言、其注册国家/地区、软件包名称、设备制造商等。图3中可以看到它窃取的所有信息的示例。

图3.被盗信息示例
它将收集的信息发送到其C&C服务器,从而注册设备。完成后,恶意软件将等待并执行其C&C服务器通过FCM发送的命令。

图4.来自C&C的Parse命令
根据恶意软件收到的命令,它可以窃取SMS会话、联系人列表、文件和呼叫记录,如下面后续图表中所示。

图5.窃取短信对话

图6.窃取联系人列表

图7.窃取呼叫记录
恶意软件甚至能够窃取和上传设备上的文件,只要它分别收到如图8和9所示的命令就会这样做。

图8.从目标文件夹中窃取文件

图9.上传文件
二、钓鱼功能
除了信息窃取功能外,恶意软件还可以通过网络钓鱼攻击收集其他凭据。它能够显示虚假的Facebook和谷歌窗口,以便针对用户的帐户详细信息进行网络钓鱼。

图10.网络钓鱼行为
如果用户输入凭据,则假弹出窗口将仅显示登录失败。实际上,此时恶意软件已经窃取了用户的凭据。

图11.假Facebook登录窗口
三、用户分布
这个案例变得有趣的部分原因在于其分布范围。通过后端监控和深入研究,我们能够看到受影响用户的分布情况,并发现他们来自共有196个不同的国家。

图12.受影响用户数最多的主要国家/地区
受影响的其他国家包括莫桑比克,波兰,伊朗,越南,阿尔及利亚,泰国,罗马尼亚,意大利,摩洛哥,墨西哥,马来西亚,德国,伊拉克,南非,斯里兰卡,沙特阿拉伯,菲律宾,阿根廷,柬埔寨,白俄罗斯,哈萨克斯坦,坦桑尼亚等。可以推测,这些应用程序在全球各地广泛分布。
四、解决方案
此案例表明,尽管应用程序普遍存在,但用户在将其下载到设备时仍必须保持谨慎。应用程序的普及可以激励网络犯罪分子继续开发利用它们窃取信息或执行其他类型攻击的活动。此外,用户还可以安装全面的网络安全解决方案,以保护其移动设备免受移动恶意软件的侵害。
IoC

C&C服务器
· hxxp://www[.]mobistartapp[.]com· hxxp://www[.]coderoute[.]ma· hxxp://www[.]hizaxytv[.]com· hxxp://www[.]seepano[.]com
 


  以上是“MOBSTSPY间谍软件在Google Play上伪装成Android应用程序[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • MOBSTSPY间谍软件在Google Play上伪装成Android应用程序
  • Mozilla Firefox浏览器对象mObserverList远程执行代码漏洞
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .