对 ArabicRSS APK 应用木马样本的分析

本文分析了一款名为ArabicRSS APK的恶意应用程序,该应用伪装成合法新闻阅读器,实则包含间谍软件,能窃取用户联系人、短信、通话记录等敏感信息。攻击者通过水坑攻击策略,利用重定向和中间服务器,将受害者引导至下载木马的网站。木马基于商业间谍软件Spymaster Pro的反向工程,具有多种监控功能,且至少由五个不同应用程序组成。研究人员还揭示了其背后的C&C服务器网络结构。
摘要由CSDN通过智能技术生成

水坑攻击(watering hole) 是近些年黑客攻击常用的方式之一,顾名思义,是在受害者必经之路设置了一个“水坑(陷阱)”。最常见的做法是,黑客分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,先将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。 由于此种攻击借助了目标团体所信任的网站,攻击成功率很高,即便是那些对鱼叉攻击或其他形式的钓鱼攻击具有防护能力的团体。其针对的目标多为特定的团体(组织、行业、地区等)。攻击者首先通过猜测(或观察)确定这组目标经常访问的网站,并入侵其中一个或多个,植入恶意软件,最后,达到感染该组目标中部分成员的目的。

对 ArabicRSS APK 应用木马样本的分析

包含木马载荷的水坑应用程序

尽管受害者在使用其设备时会尽力注意并保持自己的安全,但他们的消息和电话会转到其他相关联的设备,这些设备可能不受保护,并以不安全的方式使用。

目前已知的攻击案例有2017年ExPetr攻击和2016年波兰银行攻击。

水坑攻击不需要利用宝贵的零日漏洞,不需要使用专业的一流黑客,也不需要与领先的情报机构合作,就能发起攻击。

攻击可以通过使用原始接入点、不安全的无线网络、不安全或易受攻击的网站、社会工程和其他不属于网络攻击的技术水平的方法进行。

在本文,研究人员会分析一组安装的Android应用程序,这些应用程序欺骗了访问目标Android应用程序、新闻网站和某个期刊的用户。

利用RSS发起水坑攻击

研究人员的案例研究的是ArabicRSS,奇热它与可以从市场上安全地下载并安装的合法应用程序相同但是带有恶意间谍软件代码有效载荷。

对 ArabicRSS APK 应用木马样本的分析

ArabicalRSS应用程序屏幕截图

《生活报》(Al-Hayat)是一份总部设在伦敦的泛阿拉伯报纸,是希望向广大公众表达自己的自由主义知识分子的首选场所。研究人员案例研究中的受害者是用Android设备用户访问该报纸的用户。

这些攻击是通过从《生活报》和其他有关网站的重定向,以及通过其他社会工程方法,到一个引诱用户下载和安装恶意木马的网站进行的。

对 ArabicRSS APK 应用木马样本的分析

从合法来源重定向到用户将在其上下载恶意软件的站点,此过程非常简单,例如中间人攻击(MITM),社会工程学和其他重定向手段。此外,攻击者可以利用网站中的漏洞,注入恶意JavaScript或HTML代码,将目标重定向到托管恶意软件的另一个站点。

对一个可以合法从app store下载的应用程序进行反编译“注入”恶意代码载荷,使其在被攻击的设备上秘密工作,并重新打包应用程序的APK(app文件)。

Ara

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值