XLoader和FakeSpy是最近手机要挟范畴两款干流的歹意软件宗族。XLoader最早是2019年4月被陈述运用DNS缓存投毒或DNS诈骗技能来用歹意安卓APP从受害者设备中盗取PII和金融数据,并装置其他APP。研讨人员本年6月发布了FakeSpy歹意软件的陈述,它运用 *** S垂钓或 *** iShing来进行信息盗取进犯。
截止10月,全球XLoader和FakeSpy进犯的受害者共有384784个,受害者首要来自韩国和日本。
图1. XLoader和FakeSpy进犯的月感染量
研讨人员剖析发现XLoader和FakeSpy是同一安排在背面运作的。
XLoader和FakeSpy伪装为合法APP
XLoader和FakeSpy相关的之一个头绪是XLoader本年6月伪装成日本的家庭送货服务公司的合法APP。而简直一切的FakeSpy变种都伪装为前面说到的APP来盗取用户灵敏信息。
深入剖析XLoader和FakeSpy的活动,研讨人员发现这两款歹意软件宗族运用体系的生态体系来运用歹意软件。研讨人员7月在VirusTotal上搜索XLoader样本发现该样本来源于一个伪装为日本家庭送货服务公司的歹意域名。1个月后,研讨人员剖析FakeSpy样本时发现它也来源于同一歹意域名。
图2. VirusTotal显现XLoader样本来源于前面说到的域名
图3. FakeSpy样本也来源于同一域名
并且多个XLoader和FakeSpy样本都显现相同的成果。截止发稿,研讨人员共发现XLoader和FakeSpy用于运用歹意软件的126个域名。
除此之外,研讨人员还发现XLoader和FakeSpy运用的办法和C2地址都有许多相似之处,其间一些变种乱用交际媒体用户材料来躲藏其实在C2地址。
图4. XLoader在交际媒体用户简介中躲藏实在的C2地址
图5. 社体媒体材猜中的IP地址,都是以^^最初,以$$结束
当APP启动时,会拜访页面并剖析内容来获取实在的C2地址。
Yanbian Gang
剖析代码结构以及XLoader和FakeSpy的行为,能够发现FakeSpy和Yanbian Gang的样本有相关,Yanbian Gang是一个来自我国的违法安排,能够从韩国银行的账户中偷钱。
除此之外,FakeSpy和Yanbian app都进犯日本和韩国的网上银行用户,而两款歹意软件的运营者运用的歹意软件都有相似的代码:
图6. Yanbian Gang app中的代码
图7. FakeSpy app中的代码
图8. 来源于Yanbian Gang的歹意APP (上)和FakeSpy样本(下)同享相同的元数据,其间含有受感染设备的信息和C2服务器途径
WHOIS成果阐明FakeSpy和XLoader同享的歹意域名的注册者都来自我国。注册者的手机号显现地是吉林省,这也是Yanbian Gang已知成员的所在地。
考虑到研讨中收集到的信息,研讨人员估测Yanbian Gang与FakeSpy和XLoader存在某种联络。可能是两个不同的进犯者安排运用了相同的服务或运用基础设施。XLoader和FakeSpy歹意软件的盛行阐明用户应该恪守手机安全的更佳实践。
同源战略(SOP)约束了应用程序之间的信息同享,而且仅答应在保管应用程序的域内同享。这有用避免了体系秘要信息的走漏。但与此一起,也带来了别的的问题。跟着Web应用程序和微服务运用的日益增长,出于有用意...
跟着各种网络技能不断发展,黑客关于网站进犯也总是不断改换战略以及通过相互之间的交流来改善进犯技能。而事实上就现在网站安全方面,面对的应战首要也正是来自于进犯技能不断的演进,使得防护也需不断晋级。在之...
前语 最近使用空余时刻做了一下Hgame,以下是部分web题题解。 happyPython 信息收集 发现是flask,顺手测验一下。 http://118.25.18.223:3001/{{1+1}...
写在前面的话 了解歹意软件的实在代码对歹意软件剖析人员来说对错常有优势的,由于这样才干够实在了解歹意软件所要做的工作。但不幸的是,咱们并不总是能够得到“实在”的代码,有时歹意软件剖析人员或许需求相似...
网络犯罪分子常常会选用多层的加密或混杂技能来躲避安全产品的检测。对加密器和封装器的运用在当今歹意软件范畴正变得越来越盛行,它们不只能为歹意代码供给所谓的“FUD”(彻底无法检测)功用,而且还能躲藏额定...
Sysmon是微软的一款轻量级的体系监控东西,最开端是由Sysinternals开发的,后来Sysinternals被微软收买,现在归于Sysinternals系列东西。它通过体系服务和驱动程序完成记...