伪装成系统更新的安卓恶意软件
2021-03-28 21:57:57 Author: www.freebuf.com(查看原文) 阅读量:104 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Zimperium 的安全专家发现了一种伪装成系统更新程序传播的安卓恶意软件。

恶意软件会收集系统数据、短信消息和相册图片等信息。攻击者可以利用恶意软件进行录音、录像、查看浏览器历史记录、访问WhatsApp消息

该恶意软件功能十分复杂,可以当作为远控来接受并执行命令,可以收集泄露用户数据进行恶意行为,对安卓设备构成了极大的威胁。

Zimperium在与Google取得联系后,证实该恶意软件未在Google Play上发布

如果从第三方渠道下载安装了该应用程序,恶意软件会在Firebase C&C服务器上进行注册,上传显示设备电池电量、存储信息、WhatsApp信息等,攻击者以加密ZIP文件的形式从失陷主机中获取数据

该恶意软件通过 Firebase 消息服务接收命令,比如启动麦克风开始录音等。数据通过 POST 请求回传到专用 C&C 服务器。该恶意软件支持以下命令:

为了隐藏自身,该恶意软件尽量不留下任何痕迹。在收到来自 C&C 服务器确认收到的消息后会立刻删除所有窃密信息和文件,并且显著减少对网络的消耗。比较少见的是,该恶意软件还会窃取视频和图片的缩略图。

IOC

  1. 96de80ed5ff6ac9faa1b3a2b0d67cee8259fda9f6ad79841c341b1c3087e4c92
  2. 6301e2673e7495ebdfd34fe51792e97c0ac01221a53219424973d851e7a2ac93
  3. https://mypro-b3435.firebaseio.com
  4. https://licences.website/backendNew/public/api/

参考来源

Zimperium

SecurityAffairs


文章来源: https://www.freebuf.com/news/267818.html
如有侵权请联系:admin#unsafe.sh