KONNI是一类远控木马病毒,很早之前就由思科Talos团队披露过。在2014年的时候就开始活跃起来了。针对的主要攻击对象有俄罗斯、韩国等地区。在PaloAlto团队的研究中发现此类木马病毒家族与Nokki有很多相似之处,疑似这个与东亚的APT组织存在关联性。此后Konni被当做疑似具有东亚背景的APT组织。
暗影实验室根据捕获的样本发现,此样本仿冒安全软件,以检测用户设备安全情况为诱饵,诱导用户使用此软件。用户安装应用之后向主控地址请求远控命令,获取用户联系人、短信、应用安装列表等信息,将获取的隐私信息上传到服务器。
MD5:0ce1648ff7553189e5b5db2252e27fd5
包名:com.json
应用名:AoneSmmitz
安装图标:
该程序一款仿冒检测手机漏洞的安全软件。用户运行后提示用户这个工具是检测设备漏洞的工具,当用户点击检测选项,提示用户此设备安全。其实际行为是向指定远控发送请求,获取一个txt远控文件,txt远控文件当中包含远控指令,根据远控指令获取用户包括短信、联系人、应用安装列表等用户隐私数据,将获取的用户隐私数据上传到指定服务器。
仿冒安全软件,诱导用户下载安装,用户安装后,仿冒安全功能诱导用户使用,开启电源锁常驻后台运行,向服务器请求远控指令,执行远控指令,获取用户短信、联系人、应用安装列表、sd卡文件名称等信息,将获取的隐私信息上传到服务器。
图3-1 程序运行流程图
仿冒安全软件AoneSmmitz诱导用户安装,当用户打开软件,提示用户这个工具是检测用户设备有没有漏洞的工具,当用户点击开始检测,返回用户的是您的设备无安全漏洞。从功能上仿冒安全软件,让用户放松警惕。
仿冒AoneSmmitz应用:
图4-1 仿冒AoneSmmitz软件
提示用此工具为检测设备漏洞工具:
图4-2提示检测漏洞
向用户反馈经检测结果,设备无漏洞:
图4-3 反馈设备无漏洞信息
恶意程序在诱导用户安装完成之后,向主控地址请求远控文本。获取用户IMEI、系统版本信息,用来区别用户的唯一性。设置电源锁,当屏幕处于关闭状态时,保障恶意程序的监听服务处于监听状态,确保对用户处于一直监听状态。
1)向主控地址请求远控文本,请求之后向用户反馈远控文件。主控地址是:http://cloudsec***service.net/。
初始化地址:
图4-4 初始化地址
向主控地址发送txt文本请求:
图4-5 向主控发送远控文本请求
获取用户IMEI、设备系统版本等信息,用来区别用户的唯一性:
图4-6 获取用户IMEI等信息
2)设置电源锁,当屏幕处于关闭状态时,保障恶意程序的监听服务处于监听状态,确保对用户处于一直监听状态。
图4-7 开启电源锁
恶意程序向服务器请求远控文件之后获取远控文件,恶意程序根据远控文件当中的内容来区分远控指令。获取用户通讯录、获取用户短信、获取外部存储器文件目录、获取已安装应用列表数据等隐私数据。将获取的用户隐私信息上传到指定服务器。
4.3.1?获取信息
1)请求的远控文件,解析远控指令。
请求的远控文件:
http://cloudsecur***ervice.net/json/files/To_5063967640744206.txt
图4-8?请求远控文件
读取远控文件,解析远控指令:
图4-9?解析远控指令
2)恶意程序的远控指令。
指令列表:
远控指令 | 远控指令的意义 |
del_file | 删除指定文件 |
del_ *** s | 删除指定短信 |
download | 下载文件 |
get_account | 获取用户账户信息 |
get_app | 采集用户安装的所有APP信息 |
get_contact | 获取联系人数据 |
get_keylog | 获取键盘记录数据 |
get_sdcard | 获得sd卡的文件目录 |
get_ *** s | 获取短信内容 |
get_time | 获取时间 |
get_user | 获取手机基本系信息如IMEI、用户手机号、OSType、OSAPI |
open_app | 打开APP |
open_dlg | 弹框 |
open_web | 打开网页 |
screen | 截屏 |
send_ *** s | 发送短信 |
uninstall_app | 卸载APP |
upload | 上传文件 |
volume | 获取文件系统主目录 |
3)解析远控文件当中的远控指令,当指令是get_contact,将bGetContract的值设置为true,当bGetContract的值为true时,获取用户联系人数据。
设置bGetContract的值为true:
图4-11 设置bGetContract的值
获取用户联系人数据。
图4-12 获取用户联系人数据
4)解析远控文件当中的远控指令,当指令是bGetSms,将bGetSms的值设置为true,当bGetSms的值为true时,获取用户短信。
设置bGetSms的值为true:
图4-13 设置bGetSms的值为true
获取用户短信。
图4-14 获取用户短信
5)解析远控文件当中的远控指令,当指令是get_app,将bGetApp的值设置为true,当bGetApp的值为true时,获取用户安装的应用程序信息。
设置bGetApp的值为true:
图4-15 设置设置bGetApp的值为true
获取用户安装的应用程序信息。
图4-16 获取用户安装的应用程序信息
6)解析远控文件当中的远控指令,当指令是get_sdcard,将get_sdcard的值设置为true,当get_sdcard的值为true时,获取用户sd卡目录。
设置get_sdcard的值为true:
图4-17 设置get_sdcard的值为true
获取用户sd卡目录。
图4-18 获取用户sd目录
7)解析远控文件当中的远控指令,当指令是get_account,将get_account的值设置为true,当get_account的值为true时,获取用户账户信息。
设置get_account的值为true:
图4-19 设置get_account的值为true
获取用户账号信息。
图4-20 获取用户账号信息
4.3.2?上传信息
1)解析远控文件当中的远控指令,当指令是upload,将bUpload的值设置为true,当bUpload的值为true时,获取用户隐私信息。
设置bUpload的值为true:
图4-21 设置bUpload的值为true
获取用户隐私信息:
图4-22 获取用户隐私信息
2)上传用户隐私信息,上传地址是http://cloudsec****service.net/json/up.php。
上传用户IMEI等信息。
图4-23 上传IMEI等信息
上传用通信录信息。
图4-24 上传用户通讯录
上传用户短信信息。
图4-25 上传用户短信信息
上传用户安装应用列表信息。
图4-26 上传用户应用列表信息
MD5 | 包名 | 通讯地址 |
0ce1648ff7553189e5b5db2252e27fd5 | com.json | http://cloudse***tyservice.net/ |
域名 | IP | 归属地 |
http://cloud***trityservice.net/ | ?27.255.79.205 | 韩国 ehost数据中心 |
安全类软件,建议去正规的应用市场下载、去官方下载。
在手机当中安装必要的安全软件,并保持安全软件更新。
24小时接单的黑客QQ在哪里?专业黑客24小时接单,有很多小伙伴遇到一些需要找黑客解决的问题时,就会到百度搜索黑客,来寻求黑客接单。但实际上,我们在网上轻而易举能搜到的黑客接单,都是骗人的。 怎么解释...
微信聊天界面突然空了(微信聊天记录空白怎么回事)在紫禁城中,没有哪座宫殿比之太和殿更能代表帝王权力的威严。沿着笔直的御道穿过天安门、端门、午门、奉天门,直达广阔的广场,就能看见这座象征古代权力中心的殿...
【麻辣火锅汤底】 材料:大重庆火锅底料半袋、郫县辣酱3茶匙(15克)、花椒30克、干辣椒约40根、八角1个、桂皮2片、香叶2片、草果1个、山奈3个、大蒜8瓣、葱3段、姜3片、生抽2汤匙(30ml...
现在的社会,无论是男女之间的亲情,还是男女之间的友情,都需要相互操作和维护,如果你想长期保持与异性之间的默契关系,就必须掌握一定的优势,而且在这段时间里也要慎重寻找适合对方的方法。 女生怎么才能和男...
6月8日,农历闰四月十七,星期一! 在这里,每天60秒读懂世界! 1、南方迎强降雨 8省52条河流发生超警戒水位以上洪水。国家防总于6月7日16时启动防汛Ⅳ级应急响应;...
一、如何雇佣黑客(哪些合法雇佣黑客的网站)方法总结 1、雇佣黑客入侵网站要承担怎样的责任同黑客同责黑客行为应当承担的法律责任如果说黑客行为更多的是一种技术手段,技术手段本身是不存在承担责任一说的,至...