【An Analysis of the AnserverBot Trojan】

最新推荐文章于 2020-03-01 17:13:44 发布
最新推荐文章于 2020-03-01 17:13:44 发布
阅读量948 收藏
点赞数
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackerzer/article/details/24441851
版权

AnserverBot Trojan   

这片论文是Xuxian Jiang  教授研究的成果,Xuxian Jiang教授在ANdroid 安全方面研究显著,特别是对Android恶意软件的工作方式,本文就算针对  AnserverBot Trojan进行的研究,分析它的恶意行为恶意部分。


资料:http://www.csc.ncsu.edu/faculty/jiang/AnserverBot/

how   it   works

1、安装payload

      动态加载:当宿主app触发的时候,会弹出一个假的更新窗口,当你选择确定键的时候,它会去安装一个隐藏的payload A,这个payload A会在后台默默运行,而且不会在屏幕上留下图标,即使你将母包删除,这个payload仍然会运行。与之前研究的BaseBridge【如下】比较相似。


  • A.BaseBridge
    • NameA.BaseBridge
      Category 
      Release Date2011/06/07
      Update Number1
      BaseBridge comes in a series of pirated, trojanized, host applications that are designed to appear legitimate to an Android user. BaseBridge infected applications leverage the "udev" (BID 34536) vulnerability in Android 2.2 devices and below in order to obtain root privileges on an infected device.

      Once root privilege has been obtained, BaseBridge infected applications will drop its payload, which is "SMSApp.apk", which is stored in the application package in "/res/raw/anservb". Once successfully installed, "SMSApp.apk connects to a remote server of port 8080 in order to send device identifying information, such as: "Subscriber ID", "Manufacturer and Model", and "Android version".

      Secondarily, BaseBridge infected apps are configured to send a series of SMS messages to premium rate SMS numbers that will charge the user's mobile account per message. These funds are almost always unrecoverable. BaseBridge can also remove SMS messages from the mobile device's inbox, so as to reduce the chances of the user noticing the premium SMS messages being sent, and can dial phone numbers without the caller's consent.

2、执行payload 

      与payload A 不同,payload B不是在手机上安装的,而是当宿主app运行活在 payload A 运行时进行动态加载。它利用了 Dalvik virtual machine的动态加载功能,与Plankton spyware比较相似,不过相比 Plankton spyware,它更进一层,它对敏感的寒数调用都进行了加密(也就是说静态分析不能够分析出来,只能够进行动态分析)


3、获取payload的条件

       使用了远程调用的指令:两层,第一层指向了一个已经加密了的博客,用来存储第二层的指令和最新版本的payload B。通过将第二层的指令进行解密,我们即可以得到payload B。 



4、具有保护策略

      1)、payload A与 B 代码严重混淆,难以进行逆向分析

      2)、防止篡改与再度重打包,如果发现特征值不对,则会拒绝执行

      3)、关闭安全软件





Hackerzer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ANDROID MALWARE
05-25
of the authors and should not be interpreted as necessarily representing the official policies or endorsements, either expressed or implied, for the NSF. 1 Introduction ..................................
Tomcat设置内存参数,导致IDEA中tomcat启动没有加载项目
这个人很懒,没有简介
09-26 1315
自己手动修改了tomcat 的catalina.bat文件, set "JAVA_OPTS=-server -Xms512m -Xmx1024m -XX:NewSize=512m -XX:MaxNewSize=1024m -XX:MaxTenuringThreshold=10 -XX:NewRatio=2 -XX:+UseParallelGC" 增加了这个,但是好像没配置对,导致在IDEA中tomcat一直启动不成功,单独启动startup.bat可以启动成功,将这行去掉后,IDEA中Tomcat启动成功
301Android massage monitor &Trojan horse analysis
qq_43289307的博客
03-01 174
Android监听短信的2种方式   (1)基于Broadcast接受短信   Android收到短信后系统会发送一个android.provider.Telephony.SMS_RECEIVED广播。把它放在Bundle(intent.Extras)中,Bundle可以理解为一个Map,短信采用"pdus"作为键,pdus应该是protocol description units的简写,也就是一...
目前的Android恶意软件分类
编程小栈
02-19 8130
Current Android Malware Here is the full list of Android-Malware-Families with their corresponding reports from our mobile-sandbox-system. We will try to keep this table up-to-date. We took one sa
Android沙盘原理与实现
移动安全研究和Android/iOS/小程序隐私合规
03-13 6923
【作者】:riusksk(泉哥) 【团队】:腾讯安全应急响应中心 【微博】:http://t.qq.com/riusksk 【博客】:http://riusksk.blogbus.com 【日期】:2012年10月2日   一、前言       据网秦发布的《2012年上半年全球手机安全报告》,2012年上半年Android病毒感染量增长迅猛,尤以5、6月最为突出,
【移动安全高级篇】————1、Android沙盘原理与实现
Fly_鹏程万里
01-10 1019
一、前言       据网秦发布的《2012年上半年全球手机安全报告》,2012年上半年Android病毒感染量增长迅猛,尤以5、6月最为突出,上半年感染手机1283万部,比2011年下半年增长62%。在全球范围内,中国大陆地区被感染率占居首位。面对增长如此迅速的Android软件,安全研究人员常常需要逆向分析样本,分析出其恶意行为,但手工分析较费时间。在DEX文件反混淆技术的不遍推广和普及下,...
Android APK 静态分析与动态分析
水也的博客
10-25 8028
Android沙盘原理与实现 作者:riusksk(泉哥)[ TSRC ]公布时间:2012-10-15阅读次数:17496评论:1 分享 【作者】:riusksk(泉哥) 【团队】:腾讯安全应急响应中心 【微博】:http://t.qq.com/riusksk 【博客】:http://
Android恶意软件的行为总结
ang85824的博客
12-25 6247
针对Android的恶意软件,除了熟知的木马、病毒,还有勒索软件(ransomware)、广告(adware)和间谍软件(spyware)。 要研究Android的恶意软件,首先需要知道,软件的哪些行为算是“恶意”,什么样的软件叫“恶意软件”。   恶意软件特征 文章[1]中给出了很详细的说明,推荐仔细阅读。这里根据自己的理解总结一下。 [1]从软件安装,功能触发,负载三个方面描述了恶意软...
Android恶意软件特征及分类
热门推荐
ybdesire的专栏
10-08 1万+
Android恶意软件具备的特征,恶意软件分类
高级色系PPT11.pptx
05-08
高级色系PPT11.pptx
node-v7.9.0-linux-x86.tar.xz
05-08
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于tensorflow的的cnn卷积神经网络的图像识别分类
05-08
【作品名称】:基于tensorflow的的cnn卷积神经网络的图像识别分类 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
### 数据分析概念、使用技巧、优缺点的文章
05-08
数据分析是指通过收集、清洗、处理和解释数据,以发现其中的模式、趋势和关联,从而提供决策支持或洞察见解的过程。它在各行各业中都扮演着至关重要的角色,从市场营销到科学研究,从金融领域到医疗保健,都有广泛的应用。
对微信帐单进行数据分析
05-08
#pip install pandas -i https://mirrors.aliyun.com/pypi/simple #安装pandas处理数据模块 #pip install xlwt -i https://mirrors.aliyun.com/pypi/simple #安装excel模块 #pip install openpyxl #从微信导出对帐帐单 import pandas as pd #引入pandas,重命名为pd,Python3.9.10版本的Pandas无法兼容低版本的xls import numpy as np #导入均值模块 #从第17行读取csv格式的帐单 df = pd.read_csv('微信支付账单(20230101-20230401).csv',header=16) #分析数据 ...... #将分析数据另存为out.xlsx ..... #进行交易进间分析 ...... #统计交易对方 ...... #将结果保存到excel ..... writer.close()
node-v7.2.0-sunos-x86.tar.xz
05-08
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
作业.docx
05-08
作业.docx
DB23∕T 2540-2019 智慧城市建设项目可行性研究报告.pdf
05-08
DB23∕T 2540-2019 智慧城市建设项目可行性研究报告.pdf
在CentOS系统上安装Docker 步骤
05-08
附件是在CentOS系统上安装Docker 步骤,仅供交流学习使用,无任何商业目的! 在执行这些步骤之前,请确保你的CentOS系统已经更新到最新,并且你了解Docker容器技术的相关概念。如果你在安装过程中遇到任何问题,可以查看Docker的官方文档或搜索相关的错误信息。
node-v0.12.3-x64.msi
最新发布
05-08
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值