“流量狂魔”--病毒分析报告

最新推荐文章于 2022-12-07 16:37:15 发布
最新推荐文章于 2022-12-07 16:37:15 发布
阅读量1.2w 收藏 4
点赞数 1
文章标签: Android病毒
一. 简介
 
近日,百度安全实验室发现了一款新型顽固流量消耗木马。该木马通过重打包方式内嵌在第三方流行应用中,“流量狂魔”木马运行后第一时间动态加载附带的恶意子包,该恶意子包通过自动化模拟点击广告获取利益,这会消耗大量用户流量。
“流量狂魔”木马还会定期请求远端服务器获取最新恶意子包,通过我们监控到的数据发现,目前最新版本恶意子包增加了利用设备漏洞获取root权限的功能,获取Root权限后,恶意子包会安装附带的AndroidRTService.apk为系统程序(防止用户卸载)。AndroidRTService.apk进行自动化模拟点击广告的恶意行为。
 
 
二. 病毒分析
 
(一)、病毒运行流程
 

 
 
 
(二)、恶意行为分析
 
1、“流量狂魔”恶意代码分析
(1)、代码结构
 

 
(2)、Assets中附带恶意子包BT5V1.E9FE62CD47998E1B53D9AE6024EBD663@@
 

 
(3)、当设备启动或者屏幕解锁时启动CircleOptions服务,CircleOptios服务首先执行恶意子包加载任务
 

 
(4)、根据获得的配置信息动态调用恶意子包相关代码。
 

 
(5)、BitmapDescriptor 根据子包的AndroidManifest.xml相关配置信息获取动态调用类信息。
 

 
(6)、附带子包中的manifest配置信息
 

 
(7)、加载成功后,执行更新任务
 

 
(8)、访问远程服务器,请求更新子包
 

 
(9)、服务器返回结果包含最新恶意子包的URL
 

 
(10)、根据返回结果,自动下载最新恶意子包
 

 
 
2、“流量狂魔”附带子包BT5V1.E9FE62CD47998E1B53D9AE6024EBD663@@分析
 
(1)、模拟广告平台请求广告,消耗用户流量
 

  
3、“流量狂魔”下载最新恶意子包BT5V4.95C0CC744275497E67E745C91E58699B@@分析
 
(1)、代码结构
 

 
(2)、assets中包含多种利用漏洞获取ROOT权限可执行文件及另一恶意应用AndroidRTService.apk
 

 
(3)、利用漏洞root设备,获取root权限,关键字串使用byte数组,逃避安全软件检测
 

 
(4)、安装恶意应用AndroidRTService.apk为系统程序并伪装成GoogleMap迷惑用户。
 

  
4、AndroidRTService.apk恶意代码分析
 
(1)、代码结构
 

 
(2)、模拟点击多种广告,私自下载恶意程序,造成用户资费损失
 

 
(3)、附带自动升级模块,持续更新恶意子包
 

Jack_Jia
关注
怎样通过流量分析来检测病毒
lauef的专栏
08-07 609
网络中的数据传输是不透明的,在不借助网络分析系统的情况下,很难完成网络问题的故障定位。  摩卡流量分析(Mocha NTA)综合网络分析系统,它通过捕获并分析网络中传输的数据包,有效反映网络通讯状况,帮助网络管理人员或非网络管理人员快速准确定位故障点并解决网络故障,并快速排查网络故障,从而提高网络性能,规避网络安全风险,增大网络可用性价值,并确保整个网络的持续可靠运行。  网络时断时续、网络速度慢
L2-2 点赞狂魔 (25 分)
qq_59742616的博客
04-18 206
微博上有个“点赞”功能,你可以为你喜欢的博文点个赞表示支持。每篇博文都有一些刻画其特性的标签,而你点赞的博文的类型,也间接刻画了你的特性。然而有这么一种人,他们会通过给自己看到的一切内容点赞来狂刷存在感,这种人就被称为“点赞狂魔”。他们点赞的标签非常分散,无法体现出明显的特性。本题就要求你写个程序,通过统计每个人点赞的不同标签的数量,找出前3名点赞狂魔。 输入格式: 输入在第一行给出一个正整数N(≤100),是待统计的用户数。随后N行,每行列出一位用户的点赞标签。格式为“NameKF1​⋯FK​”,..
恶意流量分析(二)
weixin_41487541的博客
12-07 484
分析来源依旧是malware-traffic-analysis.net,本次分析的是2016-09-20
Android病毒分析报告】 - “支付宝大盗”
热门推荐
移动安全研究和Android/iOS/小程序隐私合规
12-06 1万+
近期百度安全实验室发现一款“支付宝大盗”病毒。该病毒通过二次打包嵌入到正常应用中,病毒运行后,自动在后台偷偷上传手机上的所有短信,并且当手机收到新短信时,该病毒会判断短信内容中是否包含“支付宝”、“淘宝”、“taobao”、“银”、“行”、“农信”等关键字,如果包含,该病毒将会屏蔽此类金融支付类短信。
2018抖音研究报告-海马大数据-201808.pdf
09-10
- **2018年春节期间**: 多位流量明星入驻以及“海底捞吃法”等热点事件推动新用户大量加入。 - **2018年4月**: 内涵段子被封杀后,许多“段友”和优质创作者转投抖音,进一步促进了用户基数的增长。 ##### 3. 内容...
Genericity - 泛型 - Java - 细节狂魔
sebeefe的博客
06-03 73
.> 语法二 泛型类的使用 语法 注意:泛型只能接受类,所有的基本数据类型必须使用包装类!编译器可以通过上下文推导出类型实参时,可以省略类型实参的填写。 裸类型(Raw Type) 前半部分的概括小结 泛型是如何编译的? 擦除机制 擦除机制的介绍 泛型的上界 语法 示例 实例   实例 - 非静态 细心的朋友发现,你在通过类名调用 静态方法的时候,并没有指定类型啊。 为什么就可以通过呢? 其实,是省略了。来看下面的图 通配符 通配符解决什么问题
天梯赛 L2-021 点赞狂魔 (25 分)
Nico_Anzio的博客
02-22 1056
题目链接 思路 这道题在L2里属于偏简单的一道,数据范围很友好,倾向于使用逻辑而非算法.但想要比较轻松的完成这道题目还是需要一些stl使用经验的. 对于一个用户,有几个需要记录的属性: 姓名,用于输出 总点赞数,用于确定输入标签的数量,以及确定输出顺序的次要因素 点赞的标签总数,确定输出顺序的主要因素 点赞过的标签数,用于去重. 实现过程 对于一个用户的属性,用一个结构体可以轻松容纳; 姓名和点赞数输入都会给出,存下来就行; 在输入用户点赞的标签时,边判重边累加其点赞过的标签总数即可. 判重我使用了se
JavaEE进阶 - Spring Boot 日志文件 - 细节狂魔
m0_67400973的博客
09-09 374
Spring Boot 定义打印志的实现步骤:1、在一个类中先获取到打印日志对象,日志对象 是 日志框架 提供的,而日志框架默认已经集成到 Spring Boot 里面了。(Spring Boot 内置了日志框架)2、使志对象提供的方法实现日志的打印。接下来我们分别来看志是程序中的重要组成部分,使志可以快速的发现和定位问题。Spring Boot 内容了志框架。默认情况下使的是 info 志级别将志输出到控制台的。我们可以通过 lombok 提供的 @Slf4j 注解。
实用网络流量分析技术
09-01
本书对流量分析技术的原理和相应流量分析工具的工作原理进行了详细的阐述,重点说明如何结合网络实际管理工作进行网络流量分析,不但在理论上论述网络流量对网络运行质量的影响,同时结合案例分析,阐述如何快速发现影响网络运行的流量以及分析这些流量产生的原因并解决问题。结合实际案例,使读者能够有效掌握对蠕虫病毒、ARP攻击、DOS攻击、路由问题、软件的资源滥用等危害网络正常运行的各种网络行为的分析方法。 书中完全以实用技术为主的技术内容,能够在很大程度上提高网络管理人员的网络分析技术水平,从而在对管理水平要求越来越高的实际网络管理工作中游刃有余。本书适合从事网络管理工作的技术人员和相关专业师生阅读。
新浪微博点赞关注评论(C#源码)
08-31
1、使用HTTP普通身份验证 2、实现功能:登录,微博首页微博列表,发布,转发,评论,收藏 3、使用BackgroundWorker实现微博列表翻页异步加载,微博列表获取的JSON格式的数据并进行反序列化 4、内置网络收集到的21种皮肤 5、供有兴趣的朋友参考(参考价值专用) 6、转载请注明出处
鬼影病毒分析报告
weixin_34233679的博客
03-18 218
鬼影病毒分析报告一、 鬼影病毒概述这是一个***下载器,使用了ring3恢复内核钩子、感染磁盘引导区(MBR)、多种方法结束杀毒软件等 技术自启动并对抗杀毒软件。完全感染后,是一个看不到可疑文件、没有启动项、普通重装系统也无法解决的顽固病毒。 二、鬼影病毒分析1 病毒的启动方法感染MBR以获得凌驾于操作系统的启动权---->HOOK文件操作中断,搜索NTLDR文件(主要目标xp,2003系统...
“中国”制造:悍马(Hummer)病毒家族技术分析报告
曲终人散
07-09 3581
自2016年年初开始,猎豹移动安全实验室对印度top 10的手机样本进行了梳理,结果发现这些病毒样本存在家族关系,这些病毒样本均采用hummer系列域名为升级服务器,猎豹移动安全实验室将该病毒家族命名为“悍马(hummer)”。 悍马(Hummer)病毒全球日活119万 据猎豹移动安全实验室监测数据,2016年1-6月,悍马(Hummer)病毒的平均日活119万,超过其他所有手机病毒
Android统计网络流量
山不在高,有金则名
03-14 1183
统计网络流量,可用ActivityManager或PackageManager获取各个应用的uid,然后再用TrafficStats获取。示例如下: private void printTrafficStat(Context context) { long n = TrafficStats.UNSUPPORTED; long mRxB = Traffi
恶意流量分析(一)
weixin_41487541的博客
11-26 2541
在分析恶意样本时,样本可能包含网络行为,比如样本从C2服务器上请求下载后续病毒文件。所以对于在病毒分析的角度,对恶意流量的分析也是不可避免的。
L2-021. 点赞狂魔
nhpper的博客
04-16 2000
L2-021. 点赞狂魔 时间限制 200 ms 内存限制 65536 kB 代码长度限制 8000 B 判题程序 Standard 作者 陈越 微博上有个“点赞”功能,你可以为你喜欢的博文点个赞表示支持。每篇博文都有一些刻画其特性的标签,而你点赞的博文的类型,也间接刻画了
内网ARP病毒流量分析
qq_42671480的博客
06-19 904
内网ARP病毒制作 1.什么是ARP攻击 ARP协议是以广播方式发送ARP请求的,只要是同一个网段内主机都可以收到,这就为攻击者以可乘之机,攻击者可以发送大量的ARP请求包,阻塞正常网络宽带,使局域网中有限的网络资源被无用的广播信息所占用,造成网络拥堵;其次ARP协议没有安全认证机制,因为局域网内主机是建立在信任的基础上的,所以只要主机接收到ARP应答包,都会缓存在ARP表中,这就为ARP欺骗提供...
L1-2. 点赞
za30312的博客
03-26 5381
L1-2. 点赞微博上有个“点赞”功能,你可以为你喜欢的博文点个赞表示支持。每篇博文都有一些刻画其特性的标签,而你点赞的博文的类型,也间接刻画了你的特性。本题就要求你写个程序,通过统计一个人点赞的纪录,分析这个人的特性。输入格式:输入在第一行给出一个正整数N(<=1000),是该用户点赞的博文数量。随后N行,每行给出一篇被其点赞的博文的特性描述,格式为“K F1 … FK”,其中 1<=K<=10,
L2-021 点赞狂魔
最新发布
08-15
问题: L2-021 点赞狂魔是什么?这个问题的目的是什么? 回答: L2-021 点赞狂魔是一个编程题目,要求编写程序来统计每个人点赞的不同标签的数量,并找出点赞数量最多的前三名用户。题目的目的是让程序员练习处理数据...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值