你的应用是怎样被替换的,App劫持病毒剖析

最新推荐文章于 2021-01-20 13:00:00 发布
最新推荐文章于 2021-01-20 13:00:00 发布
阅读量163 收藏
点赞数
文章标签: java 移动开发 前端 ViewUI

一.App劫持病毒介绍

App劫持是指运行流程被重定向,又可分为Activity劫持、安装劫持、流量劫持、函数运行劫持等。

本文将对最近利用Acticity劫持和安装劫持的病毒进行分析。

二.Activity劫持病毒分析

2.1 Activity劫持病毒介绍

Activity劫持是指当启动某个窗体组件时,被恶意应用探知。若该窗体界面是恶意程序预设的攻击对象。恶意应用将启动自己仿冒的界面覆盖原界面,用户在毫无察觉的情况下输入登录信息,恶意程序在把获取的数据返回给服务端。

以MazarBOT间谍木马为例。该类木马有一下几个特点:

  • 伪装成系统短信应用,启动后请求激活设备管理权限。随后隐藏图标;
  • 利用Tor与C&C控制中心进行匿名通信,抵御流量分析;
  • C&C控制中心下发指令进行手机控制、update html、以及信息收集;
  • 通过server动态获取htmlData,然后实施界面劫持。获取用户账号信息。


下面是C&C控制中心指令列表:

 

我们发现该木马能接受并处理一套完整的C&C控制指令。而且使用Tor进行匿名网络通信,使得流量数据的来源和目的地不是一条路径直接相连。添加对攻击者身份反溯的难度。

结下来我们将具体分析该木马界面劫持过程。


2.2 界面劫持过程分析:

入口梳理首先看到axml文件。

WorkerService服务处理C&C控制中心下发的”update html”指令,同一时候后台监控顶层执行的Activity。若是待劫持的应用将会启动InjDialog Acticity进行页面劫持。

图axml信息


下图是后台服务对顶层Acticity监控过程,若是待劫持应用则启动InjDialog进行劫持。

getTop函数做了代码兼容性处理,5.0以上的设备木马也能够获取顶层Acticity的包名。

图后台监控


InjDialog Activity通过webView载入伪造的html应用界面,调用webView.setWebChromeClient(new HookChromeClient())设置html页面与Java交互,在伪造的Html页面里调用prompt把JS中的用户输入信息传递到Java,HookChromeClient类重写onJsPrompt方法,处理用户输入信息。最后将劫持的用户信息通过Tor匿名上传到指定域名。

图劫持用户信息


图上传劫持信息


三.应用安装劫持病毒分析

3.1安装劫持病毒介绍

安装劫持病毒通过监听android.intent.action.PACKAGE_ADDED和android.intent.action.PACKAGE_REPLACED intent实施攻击。包含两种手段,一种是卸载删除掉真正安装的apk,替换为攻击者伪造的应用;第二种是借用用户正在安装的这个消息,悄悄的安装自己推广的其它应用。这个过程就像你平时喝的“六个核桃”,某天你竟然喝到“七个核桃”。


3.2应用相关信息

该应用是一款名为”FlashLight”的应用,程序包名:com.gouq.light,应用图标例如以下:


3.3主要组件分析

.App 应用Application类,载入Assest文件夹下加密jar包。获取接口ExchangeImpl对象,在jar里实现接口函数onApplicationCreate、triggerReceiver、triggerTimerService;启动核心服务LightService;

.LightService 应用核心服务,可外部调用启动LightTiService。达到替换进程名。以及am启动服务以自身保活;

.LightTiService 由LightService启动。该服务会调用动态载入包里的triggerTimerService接口方法。完毕对以安装应用的删除、当前设备信息上传、从server下载待安装应用;

.AppReceiver 广播接收器,通过载入的jar包里triggerReceiver接口方法实现,处理android.intent.action.PACKAGE_ADDED和android.intent.action.PACKAGE_REPLACED intent查看安装跟新应用是否是劫持应用。若是通过execCmd进行安装劫持。


下图安装劫持过程,通过监听应用的安装和更新,实施关联的其它应用的静默安装。

图安装劫持


上图能够知道此恶意应用借用安装或更新intent,安装预设的关联应用,这样在安装完成后用户并不清楚哪个是刚真正安装的应用,这样添加了推广应用点击执行的几率。


四.怎么有效防治App劫持或安全防护建议

针对企业用户:

作为一名移动应用开发人员。要防御APP被界面劫持,最简单的方法是在登录窗体等关键Activity的onPause方法中检測最前端Activity应用是不是自身或者是系统应用。

当然,术业有专攻。专业的事情交给专业的人来做。阿里聚安全旗下产品安全组件SDK具有安全签名、安全加密、安全存储、模拟器检測、反调试、反注入、反Activity劫持等功能。 开发人员仅仅须要简单集成安全组件SDK就能够有效解决上述登录窗体被木马病毒劫持的问题,从而帮助用户和企业降低损失。


针对个人用户:

安装阿里钱盾保护应用免受App劫持木马威胁。


作者:逆巴@阿里移动安全,很多其它技术文章,请点击阿里聚安全博客

weixin_34119545
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
你的应用是如何被替换的?App劫持病毒剖析
weixin_34184561的博客
04-19 209
一.App劫持病毒介绍 App劫持是指执行流程被重定向,又可分为Activity劫持、安装劫持、流量劫持、函数执行劫持等。本文将对近期利用Acticity劫持和安装劫持病毒进行分析。 二.Activity劫持病毒分析 2.1 Activity劫持病毒介绍 Activity劫持是指当启动某个窗口组件时,被恶意应用探知,若该窗口界面是恶意程...
网站app劫持怎么办?HTTPDNS阿里云域名防劫持, DNSPod 移动解析服务 D+
weixin_34400525的博客
06-06 595
网站app劫持怎么办?HTTPDNS阿里云域名防劫持, DNSPod 移动解析服务 D+ HTTPDNS_移动开发_域名解析_域名防劫持-阿里云https://www.aliyun.com/product/httpdns?spm=5176.7960203.237031.141.DCBxKKHTTPDNS使用HTTP协议进行域名解析,代替现有基于UDP的DNS协议,域名解析请求直接发送到阿里云的H...
App客户端劫持及简单防护
云守护的专栏
07-02 4903
转自:http://blog.nsfocus.net/app-client-hijacking-simple-protection/Android APP客户端安全评估中,有一项叫做activity界面劫持。该bug的攻击场景是,当手机中的恶意APP检测到当前运行的为目标APP时,就启动自身的钓鱼界面覆盖到目标APP之上,以欺骗用户输入账号密码等。本文将要归纳Android各个版本可以使用的检测当...
函数劫持能做啥?前端黑科技揭秘
weixin_33716154的博客
05-24 172
啥是函数劫持?其实就是给调用的函数加一层包装函数,在包装函数里调用一下原函数,有点像代理服务器的作用, 拦截一些全局对象和方法, 能实现一些非常便利的全局功能,今天我就抛砖引玉跟大家分享一下。 人生苦短,苦中做乐的console.log 美化 前段时间看到emoji图标在地址栏的动画应用,挺有趣的,很娱乐,我就试着能不能把emoji应用于到我正在研究的函数劫持的实例中,实际做了一下效果还不错,自娱...
android app 升级劫持
balance的博客
01-07 757
Android APP升级劫持 劫持Android APP升级,引到用户安装恶意APP APK升级过程 服务器检查是否有升级包:https/http,返回包下载链接+包hash值 下载升级包:https/http 校验包hash值,保存SDCard:攻击者的机会 启动系统安装器 安全性分析 一般APP在保存到SDCard或启动安装器之前都会校验升级包hash值,也是最安全的做法 有...
针对APP应用劫持病毒出现.pdf
08-26
针对APP应用劫持病毒出现.pdf
Android如何跳转到应用商店的APP详情页面
01-20
在Android开发中,有时我们需要引导用户从我们的应用内直接跳转到应用商店,以便他们可以查看应用程序的详细信息、下载新版本或者留下评价。本文将详细介绍如何实现这一功能。 首先,我们要理解`launchAppDetail`...
移动应用APP十大应用场景.ppt
03-22
移动应用APP十大应用场景.ppt
移动APP功能剖析分解PPT展示.ppt
03-21
移动APP功能剖析分解PPT展示.ppt
艾滋病患者管理App的开发及应用.pdf
08-26
艾滋病患者管理App的开发及应用是一个基于互联网技术的创新项目,该项目旨在解决昆明市艾滋病抗病毒治疗服务及管理中的问题,优化和创新艾滋病抗病毒治疗及管理体系。该项目通过互联网载体,建立完善符合当前特殊...
AP渗透测试学习
weixin_43304436的博客
01-20 47
1、测试指标 2、测试环境 SDK: Java JDK ,Android SDK 工具: 7zip dex2jar jd-gui apktool activity 劫持工具 3、安装包签名 在Android中,包名相同的两个APK会被认为是同一个应用,新版本覆盖旧版本的时候签名证书必须一致。如果APK没有使用自己的证书进行签名,将失去对版本管理主动权。 检测:...
网站app劫持怎么办?dns被劫持,域名被劫持,HTTPDNS阿里云域名防劫持, DNSPod移动解析防劫持服务D+...
fantaxy025025的专栏
09-26 1117
网站app劫持怎么办?dns被劫持,域名被劫持 HTTPDNS阿里云域名防劫持, DNSPod移动解析防劫持服务D+ 垄断,就是鸡国的毒瘤。 域名被中移动劫持了,mlgb!!   关于互联网流量劫持分析及可选的解决方案 最全最好的分析解释。 http://www.jianshu.com/p/eff9553c8b64 问题: 1)dns劫持; 2)链路劫持; 解决: 1...
pluginkit 读取macOS Mojave扩展插件列表的使用方法
我在全球村
11-21 1369
最近研究macOS Mojave 10.14系统上插件的使用变化,以便于后续解决恶意扩展插件问题,发现与原来的处理方式改变后,旧有的脚本还真不一定能找出当前系统的malware,于是还得顺应时代改进,还要兼容旧的,工作量看着就又要来了。这个过程中发现了一个一直存在却被忽略,不停被改进的插件查看命令工具pluginkit,百度上都没有查到哦,所以想做点介绍! pluginkit可以对扩展插件列表进...
macOS下malware移除实战之weknow弹窗的移除
我在全球村
11-12 2734
声明: 由于网络中的病毒virus/malware等存在随时变异或者对应多种感染方式等情况,本文所针对的处理方法仅针对本次样本负责,个人如有误操作,后果自负。如需帮助,可以扫我头像加我微信! 前段时间收到反馈,某人感染了malware,浏览器被劫持,大致的表现情况截图如下:   从截图可以看出,显然是感染了makekeeper之类的恶意插件,向对方获取了一些基本的文件和浏览器信息,...
一位大牛整理的Python资源
我在全球村
08-07 2512
来自http://blog.sina.com.cn/s/blog_5d236e060100ep4y.html~type=v5_one&label=rela_nextarticle 一个论坛:http://www.python-forum.org/pythonforum/index.php 一 python文章索引 Total number is :102 python基础:
探究Safari扩展-恶意软件开启用户数据的金钥匙
我在全球村
11-22 817
本文由两部分组成,主要揭示了macOS浏览器插件扩展背后的技术以及恶意附加组件如何窃取密码,银行账户详细信息和用户的其它敏感数据的。   浏览器插件扩展是用户可以对安全系统进行操作的最简单第三方修改方式之一,但也有可能是导致系统发生严重危险的方式之一。 许多用户将插件扩展视为一个极小的“applets”(小应用),主要可以在浏览网页时提供一些简单而实用的额外功能—(比如)阻止广告内容,允许进行...
传输协议不安全,数据泄露谁之过?——流量劫持技术分析
weixin_30598225的博客
07-02 244
万物互联时代,无线网络全面覆盖我们的生活,基本上各家门店都有wifi标志,而且有的还没有密码,蹭WiFi似乎已成为一项基本“生存技能”,现代人的基本状态就像下面这首打油诗一样: 枯藤老树昏鸦,空调Wifi西瓜 葛优同款沙发,我就往那一趴 如果企业没有对自家应用做好数据防护,蹭网的同时,用户个人隐私也暴露在互联网中,不安全协议传输数据,直接导致用户数据被中间人劫持获取。 同时,流量被劫持获取...
Android: 你的安卓手机被劫持了嘛
中国在线教育
05-24 4419
不管它是否现在已经被劫持, 如果你不在意或者没有采取必要的措施, 那么那是迟早的事. 那么从现在开始就做好准备吧. 下面的建议可能帮助你尽可能地远离恶意软件. 安装最新的Android系统. 不过基于设备的不同, 更新可能需要硬件厂商的配合. 在安全设置中, 禁止"安装不明来源的apps"(Allow installation of apps from Unknown sources).忽
Mac OSX 系统下常见malware感染的过程与分析
我在全球村
11-22 2945
很久没来记录工作的点点滴滴了,趁这周有空,整理了下前期梳理的某些方面问题的处理和解决办法。 前段时间,很多用户反馈感染了malware,Adware,恶意插件之类的,苦于缺少环境,没有真实环境,缺少可靠信息等现实问题,这边根据用户提供的关键信息,模拟了下感染过程。  本文topic是:e.tre456_worm_osx & AppleCareProtection Plan问题被感染的过程
App应用化创业探索:挑战与机遇
"本文主要探讨了App应用化过程中的难点,包括从闭环管理和创业环境的角度进行剖析,并分享了一些关于成功App的准则和失败特征。作者郭立峰是一位有着10多年编程经验的移动互联网创业初学者,他指出闭环管理对于App...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值