跑得快棋牌app

暴风雨前夕:新型跨平台间谍软件CallerSpy已开启测试

更新:2020-06-07 编辑:跑得快棋牌app 来源: 热度:3730℃

近日,趋势科技宣称他们在一个钓鱼网站上发现了一个伪装成聊天APP的新型间谍软件家族,并认为这些恶意APP很有可能是在为一场大规模活动而做的准备。

根据趋势科技的说法,他们发现第一款恶意APP的时间是在今年5月份。恶意APP名为Chatrious,可通过点击网站上的下载按钮来下载安装包。

但在之后的几个月里,钓鱼网站一直处于关闭状态。直到今年10月份,钓鱼网站再次上线,但可下载的APP已经更换为了Apex。

分析表明,Apex和Chatrious同属一个间谍软件家族,都能够窃取用户的个人信息。目前,趋势科技已将该间谍软件家族标识为AndroidOS_CallerSpy.HRX。

图1.Chatrious和Apex

行为分析

如上所述,CallerSpy被描述为聊天APP,但分析表明它根本不具备聊天功能。

一旦执行,它就会通过Socket.IO启动与CC服务器的连接,以监听来自CC服务器的命令。

然后,它会利用EvernoteAndroid-Job开始调度计划任务以窃取信息。

图2.CallerSpy启动C&C连接,然后开始调度计划任务

CallerSpy会设置多个计划任务,以收集受感染设备上的通话记录、短信、联系人列表和文件。此外,它还能够进行屏幕截图,并将截图上传到C&C服务器。

图3.预设的计划任务

所有的被盗信息都将被存储在本地数据库中,然后定期上传到C&C服务器。

CallerSpy的目标文件类型如下:

jpgjpegpngdocxxl​​sxlsxpptpptxpdfdoctxtcsvaacamrm4aopuswavamr

图4.本地数据库

当CallerSpy接收到来自C&C服务器的命令后,它便会进行屏幕截图。随后,它将对截图进行Base64编码,并通过预先配置的Socket.IO连接上传到CC服务器。

图5.监听来自C&C服务器的命令,屏幕截图并上传截图

基础设施分析

为了诱骗用户下载APP,攻击者使用了类似Google的山寨域名——Gooogle。

图6.伪造的版权信息

Whois查询显示,这个域名是于2020年2月11日在Namecheap注册的,但是有关注册人的信息全都无法追溯。

图7.gooogle[.]press的注册信息

虽然趋势科技设法捕获到了四个C&C服务器IP地址,但却发现他们都托管在合法服务上,唯一能确定的只有C&C服务在端口3000上使用Node.js。

暴风雨的前夕

趋势科技,他们到目前为止还没有发现实际的CallerSpy感染者,但同时也提出了一个可能,即CallerSpy目前仍处于测试阶段,攻击者很可能是在为一场大规模活动而做准备。

首先,Call跑得快棋牌apperSpy目前还没有用户界面,也没有其所描述的聊天功能。

其次,它目前使用的仍是默认的应用程序图标,甚至被标记为rat,而且还存留了一些调试代码。

(责任编辑:跑得快棋牌app)

本文地址:/xinli/20200607/5883.html

上一篇:2019中国供应链十大金融热门事件背后的思考

下一篇:你信吗?Q4苹果将反超华为再次成为全球第二

相关文章