原标题:虚假杀毒软件窃取设备存储信息,竟是两种 Android RAT 变体
近日,EST 安全团队发布了一篇关于 Android 手机平台上虚假防病毒恶意软件的帖子。根据韩国媒体的报道,有人认为这些恶意软件可能与 123 组织( Group 123)之间存在某种关联。
在深入研究这种关联中,Talos 结合其调查报告以及 123 组织的历史背景,确定了 Android 远程管理工具(RAT)的两种变体: KevDroid 和 PubNubRAT。
这两种变体具有相同的功能 , 即窃取受感染设备上的信息(如联系人、短信和电话历史记录),并记录受害用户的电话。
除此之外,两种变体的数据也都是使用 HTTP POST 发送到唯一的命令和控制(C2)服务器上的。
其中一种变体 KevDroid 使用了已知的 Android 漏洞(CVE-2015-3636),以便在受损的 Android 设备上获得 root 访问权限。
而 PubNubRAT(以 Windows 为目标)则是被确认托管在 KevDroid 使用的命令和控制服务器上。该恶意软件专门使用 PubNub 平台作为它的 C2 服务器。PubNub 是一个全球数据流网络(DSN), 攻击者可以使用 PubNub API 向被攻击的系统发布命令。
Talos 表示他们目前只是大致识别了一些无法可靠确定真正联系的策略、技术和程序要素,还不能够确定这些变体与 123 组织之间的具体关联。
Talos 完整分析报告:
《 Fake AV Investigation Unearths KevDroid, New Android Malware 》
本文转载自hackernews.cc
阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品,面向企业和开发者提供互联网业务安全解决方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。返回搜狐,查看更多
责任编辑:
2977
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
