XLoader与FakeSpy的相关以及与Yanbian Gang的联系

访客5年前关于黑客接单758

XLoader和FakeSpy是最近手机要挟范畴两款干流的歹意软件宗族。XLoader最早是2019年4月被陈述运用DNS缓存投毒或DNS诈骗技能来用歹意安卓APP从受害者设备中盗取PII和金融数据,并装置其他APP。研讨人员本年6月发布了FakeSpy歹意软件的陈述,它运用 *** S垂钓或 *** iShing来进行信息盗取进犯。
截止10月,全球XLoader和FakeSpy进犯的受害者共有384784个,受害者首要来自韩国和日本。

图1. XLoader和FakeSpy进犯的月感染量
研讨人员剖析发现XLoader和FakeSpy是同一安排在背面运作的。
XLoader和FakeSpy伪装为合法APP
XLoader和FakeSpy相关的之一个头绪是XLoader本年6月伪装成日本的家庭送货服务公司的合法APP。而简直一切的FakeSpy变种都伪装为前面说到的APP来盗取用户灵敏信息。
深入剖析XLoader和FakeSpy的活动,研讨人员发现这两款歹意软件宗族运用体系的生态体系来运用歹意软件。研讨人员7月在VirusTotal上搜索XLoader样本发现该样本来源于一个伪装为日本家庭送货服务公司的歹意域名。1个月后,研讨人员剖析FakeSpy样本时发现它也来源于同一歹意域名。

图2. VirusTotal显现XLoader样本来源于前面说到的域名

图3. FakeSpy样本也来源于同一域名
并且多个XLoader和FakeSpy样本都显现相同的成果。截止发稿,研讨人员共发现XLoader和FakeSpy用于运用歹意软件的126个域名。
除此之外,研讨人员还发现XLoader和FakeSpy运用的办法和C2地址都有许多相似之处,其间一些变种乱用交际媒体用户材料来躲藏其实在C2地址。

图4. XLoader在交际媒体用户简介中躲藏实在的C2地址

图5. 社体媒体材猜中的IP地址,都是以^^最初,以$$结束
当APP启动时,会拜访页面并剖析内容来获取实在的C2地址。
Yanbian Gang
剖析代码结构以及XLoader和FakeSpy的行为,能够发现FakeSpy和Yanbian Gang的样本有相关,Yanbian Gang是一个来自我国的违法安排,能够从韩国银行的账户中偷钱。
除此之外,FakeSpy和Yanbian app都进犯日本和韩国的网上银行用户,而两款歹意软件的运营者运用的歹意软件都有相似的代码:

图6. Yanbian Gang app中的代码

图7. FakeSpy app中的代码

图8. 来源于Yanbian Gang的歹意APP (上)和FakeSpy样本(下)同享相同的元数据,其间含有受感染设备的信息和C2服务器途径
WHOIS成果阐明FakeSpy和XLoader同享的歹意域名的注册者都来自我国。注册者的手机号显现地是吉林省,这也是Yanbian Gang已知成员的所在地。
考虑到研讨中收集到的信息,研讨人员估测Yanbian Gang与FakeSpy和XLoader存在某种联络。可能是两个不同的进犯者安排运用了相同的服务或运用基础设施。XLoader和FakeSpy歹意软件的盛行阐明用户应该恪守手机安全的更佳实践。
 

相关文章

新手攻略:DVWA-1.9全等级教程之CSRF

现在,最新的DVWA现已更新到1.9版别(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版别,并且没有针对DVWA high等级的教程,因而萌发了一个编撰新手教程的主意,过错...

Kerberos中继攻击:滥用无约束委派(下)-黑客接单平台

上一篇文章,我只讲了中继进犯的基本理论,这篇文章,我会举两个示例来及详细阐明。 示例1:运用计算机帐户和SpoolService缝隙获取DC同步权限 在第一种情况下,咱们将乱用我的internal.c...

反击爬虫,前端工程师的脑洞能够有多大?

关于一张网页,咱们往往期望它是结构杰出,内容明晰的,这样搜索引擎才干精确地认知它。 而反过来,又有一些情形,咱们不期望内容能被容易获取,比方说电商网站的交易额,教育网站的标题等。由于这些内容,往往是...

FALLOUT工具包再现江湖,让你浏览网站时不知不觉中招-黑客接单平台

近年来,网络进犯越来越无孔不入,看似往常的活动在进犯者眼中也成为了潜在的进犯时机,作为这一趋势的最新事例,本文将展现进犯者是怎么经过人们日常的阅读行为来装置AZORult的。AZORult是一类特务软...

大论帝国cms的安全性

帝国cms服务器网站目录安全设置经历内容仅供参考,假如您在修正具体问题时有疑问主张能够在文章下面具体咨询,体系114网将极力供给协助。一起假如你有好的经历,欢迎投稿共享给广阔网友。   1、目录权限...