XLoader和FakeSpy是最近手机要挟范畴两款干流的歹意软件宗族。XLoader最早是2019年4月被陈述运用DNS缓存投毒或DNS诈骗技能来用歹意安卓APP从受害者设备中盗取PII和金融数据,并装置其他APP。研讨人员本年6月发布了FakeSpy歹意软件的陈述,它运用 *** S垂钓或 *** iShing来进行信息盗取进犯。
截止10月,全球XLoader和FakeSpy进犯的受害者共有384784个,受害者首要来自韩国和日本。
图1. XLoader和FakeSpy进犯的月感染量
研讨人员剖析发现XLoader和FakeSpy是同一安排在背面运作的。
XLoader和FakeSpy伪装为合法APP
XLoader和FakeSpy相关的之一个头绪是XLoader本年6月伪装成日本的家庭送货服务公司的合法APP。而简直一切的FakeSpy变种都伪装为前面说到的APP来盗取用户灵敏信息。
深入剖析XLoader和FakeSpy的活动,研讨人员发现这两款歹意软件宗族运用体系的生态体系来运用歹意软件。研讨人员7月在VirusTotal上搜索XLoader样本发现该样本来源于一个伪装为日本家庭送货服务公司的歹意域名。1个月后,研讨人员剖析FakeSpy样本时发现它也来源于同一歹意域名。
图2. VirusTotal显现XLoader样本来源于前面说到的域名
图3. FakeSpy样本也来源于同一域名
并且多个XLoader和FakeSpy样本都显现相同的成果。截止发稿,研讨人员共发现XLoader和FakeSpy用于运用歹意软件的126个域名。
除此之外,研讨人员还发现XLoader和FakeSpy运用的办法和C2地址都有许多相似之处,其间一些变种乱用交际媒体用户材料来躲藏其实在C2地址。
图4. XLoader在交际媒体用户简介中躲藏实在的C2地址
图5. 社体媒体材猜中的IP地址,都是以^^最初,以$$结束
当APP启动时,会拜访页面并剖析内容来获取实在的C2地址。
Yanbian Gang
剖析代码结构以及XLoader和FakeSpy的行为,能够发现FakeSpy和Yanbian Gang的样本有相关,Yanbian Gang是一个来自我国的违法安排,能够从韩国银行的账户中偷钱。
除此之外,FakeSpy和Yanbian app都进犯日本和韩国的网上银行用户,而两款歹意软件的运营者运用的歹意软件都有相似的代码:
图6. Yanbian Gang app中的代码
图7. FakeSpy app中的代码
图8. 来源于Yanbian Gang的歹意APP (上)和FakeSpy样本(下)同享相同的元数据,其间含有受感染设备的信息和C2服务器途径
WHOIS成果阐明FakeSpy和XLoader同享的歹意域名的注册者都来自我国。注册者的手机号显现地是吉林省,这也是Yanbian Gang已知成员的所在地。
考虑到研讨中收集到的信息,研讨人员估测Yanbian Gang与FakeSpy和XLoader存在某种联络。可能是两个不同的进犯者安排运用了相同的服务或运用基础设施。XLoader和FakeSpy歹意软件的盛行阐明用户应该恪守手机安全的更佳实践。
上周末,一个好兄弟找我说一个很重要的方针shell丢了,这个shell之前是经过一个S2代码履行的缝隙拿到的,现在缝隙还在,不过web目录悉数不可写,问我有没有办法搞个webshell持续做内网。正好...
Modbus协议 Modbus是全球第一个真实用于工业现场的总线协议,ModBus选用主/从(Master/Slave)方法通讯。最大可支撑247个隶属控制器,但实践所支撑的隶属控制器数还得由所用通讯...
当我榜首次收到银行发来的“安全”邮件时,我榜首反响便是这儿是否有诈?由于在我看来,它实在是太像垂钓邮件了。这封躺在收件箱里的邮件来历于我银行司理的个人邮箱地址,而非Chase银行的官方邮箱。邮件中不...
上文咱们说过,《针对Dalvik字节码的类似性检测引擎,比较同一款Android运用程序的不同版别之间的代码差异》这篇文章计区分两个部分来解说,上文只介绍了怎么运用Quarkslab公司开发的diff...
针对网络黑客而言,沒有她们没法做到,唯有你意想不到。 就算不连接网络,网络黑客运用散热风扇也可以盗取你的数据信息? 前不久,非洲的一个科学研究精...
最近在培训包含在一些竞赛中,python结构方面的攻防需求呈现的越来越频频。 尽管python结构相关于Java、php等的广泛度还略低一点(当然现在的盛行程度现已越来越高了),可是咱们并不能够因此而...