中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

高度復雜的間諜軟件Mandrake怎么用

發布時間:2021-12-24 15:23:16 來源:億速云 閱讀:165 作者:柒染 欄目:數據安全

本篇文章給大家分享的是有關高度復雜的間諜軟件Mandrake怎么用,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

概述

Mandrake間諜軟件在野外已潛伏四年,四年間已有數十萬用戶設備被感染。大多數感染Mandrake受害者分布在澳大利亞、歐洲、美國和加拿大。該間諜軟件首先通過偽裝成正常的應用潛伏在Googleplay中,除了偽裝成合法的應用程序外,這些應用程序還使用其它的技術來避免GooglePlay保護:它們大大延遲了惡意活動,并分階段工作。藏身于Googleplay中的惡意軟件只是整個惡意攻擊過程的第一階段,之后他會誘導用戶下載安裝第二階段的有效負荷以及下載更新第三階段的核心組件。

高度復雜的間諜軟件Mandrake怎么用圖1-1 在googleplay中偽裝的合法應用

惡意程序加載流程

整個惡意程序執行流程分為三個階段:用戶從google商店下載偽裝成正常應用的惡意軟件。惡意軟件被安裝執行后在后臺下載有效負荷(偽裝成androidsystem)誘導用戶安裝使用,最后在有效負荷中下載更新核心組件。

高度復雜的間諜軟件Mandrake怎么用圖1-2 惡意程序加載流程

Mandrake間諜軟件高度復雜:該間諜軟件首次運行便將自身隱藏于后臺,所有的界面都是通過動態調用啟動。將所有有效字符串加密并在調用時動態在native層解密。將主要函數以及遠控命令隱藏于so文件中動態加載,通過java層與native層函數交叉調用執行惡意行為避免被檢測引擎檢測。Mandrake使攻擊者可以訪問設備偏好設置,地址簿,消息,屏幕記錄,設備使用情況和不活動時間等數據,該惡意軟件可以完全控制設備:它可以降低電話的音量并阻止來電,屏蔽用戶接收的短信息、竊取用戶短信、聯系人、賬戶、登錄憑據等隱私數據。通過加載網頁并注入特制的JavaScript代碼進行網絡釣魚攻擊。

高度復雜的間諜軟件Mandrake怎么用

圖1-3 程序運行邏輯

技術分析

多方面隱藏保護自身

(1)在清單文件中將Activity組件設置為不在最近任務中出現。

高度復雜的間諜軟件Mandrake怎么用

圖1-4 設置Activity屬性

(2)安裝啟動后便將自身退到后臺,隱藏應用圖標。

高度復雜的間諜軟件Mandrake怎么用

圖1-5 將自身退到后臺

(3)為了讓應用程序在后臺運行服務,Android操作系統要求應用程序顯示永久通知。對于這些情況,Mandrake使用透明通知圖標。

高度復雜的間諜軟件Mandrake怎么用

圖1-6 紅色框內顯示透明通知圖標

(4)Java層與native層函數交叉調用。

字符串動態解密、客戶端與服務器交互、遠程命令控制等重要函數放在native層。

高度復雜的間諜軟件Mandrake怎么用

圖1-7 so文件中主要函數調用

在native層通過反射調用java層函數。

高度復雜的間諜軟件Mandrake怎么用

圖1-8 反射調用java層函數

解密后java層函數:高度復雜的間諜軟件Mandrake怎么用

圖1-9 解密后函數名

(4)將所有效字符串全部加密,運行時動態解密拼接。

這樣做不僅可以增加分析人員難度還可避免應用商店以及殺毒軟件的檢測。

高度復雜的間諜軟件Mandrake怎么用

圖1-10 字符串解密函數

解密后部分字符串以及服務器地址:

高度復雜的間諜軟件Mandrake怎么用

圖1-11 解密文件名、服務器地址

行為分析

應用啟動后便會檢測用戶設備SIM卡運營商以及國家碼ISO,如果滿足某些條件,惡意軟件將停止運行:它避免在低收入國家、非洲國家、前蘇聯國家運行。它還避免了在沒有SIM卡的設備上或在特定運營商發布的SIM上運行。其中排除在SIM卡運營商為“CMCC”(中國移動通信集團公司)的設備上運行。

高度復雜的間諜軟件Mandrake怎么用

圖1-12 Sim卡運營商檢測

檢測應用是否在模擬器虛擬環境中運行:

高度復雜的間諜軟件Mandrake怎么用

圖1-13檢測應用是否在虛擬環境

通過設備檢測后,應用便會調用native層init()函數進行一些字符串解密以及隱私數據收集操作,但在這之前應用會在首次加載的JNI_OnLoad函數中進行一些初始化操作并連接服務器與服務器進行交互。

高度復雜的間諜軟件Mandrake怎么用高度復雜的間諜軟件Mandrake怎么用

圖1-14 客戶端與服務器交互

Init()函數中執行獲取用戶設備應用列表、賬戶列表、通訊錄列表信息,并檢測自身是否為設備默認短信程序。

高度復雜的間諜軟件Mandrake怎么用

圖1-15  init函數

執行cmd命令獲取用戶設備應用列表并通過反射調用java層0xJ18函數執行竊取用戶設備賬戶信息、以及聯系人信息操作。

高度復雜的間諜軟件Mandrake怎么用

圖1-16竊取用戶應用列表、聯系人列表、賬戶列表

檢測自身是否為默認短信程序,如果不是便會彈出通知彈框請求,當用戶拒絕該請求時便通知用戶應用已停止運行。當用戶授予了該請求應用便會顯示自己精心繪制的視圖充當短信查看器(惡意軟件中最有趣的部分之一是精心繪制的視圖、布局、顯示和視覺組件扭曲應用程序流程,以欺騙用戶授予危險的權限,該方法通過修改屏幕的區域來改變用戶所看到的內容,從而在用戶點擊特定區域時使它們能夠獲得額外的權限)。

該顯示層具有收發短信的功能。之后該應用便可完全接替默認的短信程序,對用戶短信數據庫具有編輯、刪除、更改等權限。

高度復雜的間諜軟件Mandrake怎么用

圖1-17 自制作短信收發顯示層

監聽用戶電話狀態,降低音量并阻止來電。將來電號碼進行對比后執行掛斷電話、刪除通話記錄或錄音操作。

高度復雜的間諜軟件Mandrake怎么用

圖1-18 監聽用戶電話

(1)掛斷電話。

高度復雜的間諜軟件Mandrake怎么用

圖1-19 掛斷用戶設備接收的電話

(2)刪除通話記錄:

高度復雜的間諜軟件Mandrake怎么用

圖1-20 刪除通話記錄

遠程控制

應用在java層每執行一次操作便會發送一條指令到native層。

高度復雜的間諜軟件Mandrake怎么用

圖1-21 java層命令傳輸

Native層遠控整個指令的執行。

高度復雜的間諜軟件Mandrake怎么用

圖1-22 native層遠控框架

功能列表:

  • 短信操作:收集并上傳所有SMS消息到服務器、將接收的SMS短信轉發到指定的號碼、隱藏傳入SMS消息不顯示給用戶、發送指定SMS消息內容給指定號碼

  • 電話操作:監聽用戶電話將來電號碼發送到服務器、降低音量并阻止來電、啟動對電話號碼的呼叫、收集并將聯系人列表上傳至服務器

  • 應用程序操作:收集并上傳應用程序列表、安裝其他組件或惡意應用程序、卸載應用程序

  • 設備和帳戶操作:收集并上傳用戶設備所有注冊帳戶、收集設備信息(Android版本、電池級別、設備型號、ISO國家碼,SIM運營商等) 

  • 間諜技術:GPS跟蹤、任何帳戶的證書盜竊(臉書,電子銀行賬戶)通過js腳本注入技術進行網絡釣魚

指令列表:

指令

功能

1000

接收短信:在每次收到短信時,都會向包含短信內容的服務器發出請求

1001

封鎖所有收到的短信,不顯示給受害者。并將短信內容轉發到指定的號碼。

1002

每隔一段時間客戶端連接服務端

1003

 

對用戶設備安裝的應用進行操作,根據不同狀態執行不同操作

1004

停止腳本注入

1005

發送用戶設備應用列表、賬戶列表、聯系人列表到服務器

1006

將日志文件發送至服務器

1007

更新服務器地址

1008

將Mandrake設置為默認SMS處理程序。 這能夠阻止、攔截、中端傳入的消息

1009

禁用短信處理功能

1010

更新組件

1011

移除更新的組件

1012

獲取到目前為止收到的所有短信并發送到服務器

1014

撥打指定電話號碼

1015

設置呼叫阻塞開關

1016

發送指定內容到指定電話號碼

1017

發送指定內容到指定電話號碼

1018

將對參數中給出的URL進行WebSocket連接

1019

停止控制受害者設備

1020

記錄網頁活動,注入惡意javascript竊取目標程序表單輸入。

1021

停止瀏覽網頁

1022

誘導用戶給予可訪問性權限

1023

停止命令

1025

啟動一個應用

1026

重新啟動惡意軟件組件

1028

開始錄屏

1029

停止錄屏

通過加載網頁并注入特制的JavaScript代碼進行網絡釣魚攻擊,竊取目標應用程序的賬戶信息。

高度復雜的間諜軟件Mandrake怎么用

圖1-23 加載網頁

惡意軟件會將收集到的隱私數據傳輸到native層并寫入文件中,之后便上傳到服務器。

高度復雜的間諜軟件Mandrake怎么用

圖1-25 保存隱私數據文件

4.第二階段加載

第二階段加載程序有效負載時,應用通過使用GooglePlay圖標以更新Google服務的標題誘導用戶點擊。

高度復雜的間諜軟件Mandrake怎么用

圖2-1 顯示google服務通知

當用戶點擊假冒的GooglePlay通知消息后,會提示用戶安裝AndroidSystem應用(偽裝成安卓系統應用更有助于隱藏自己),這實際上是第二階段需要加載的有效負載。

高度復雜的間諜軟件Mandrake怎么用

圖2-2 誘導用戶安卓有效負載

第二階段加載程序下載和安裝后,有效負載(AndroidSystem)將檢測用戶設備系統版本,如果系統版本小于10則隱藏圖標否則更改其圖標為其它應用圖標。加載程序將模仿Wi-Fi圖標,當點擊時,應用打開的確是Wi-Fi菜單。

高度復雜的間諜軟件Mandrake怎么用

圖2-3 更改應用圖標

有效負載功能列表:

  • 確定和操縱設備的狀態

  • 確定用戶是否是他們的有效攻擊目標

  • GPS定位跟蹤

  • 收集并上傳用戶設備所有注冊帳戶信息

  • 下載核心組件并動態加載它

5.第三階段加載

核心組件主要用于授予應用敏感權限以及傳輸命令:

  • 授予應用設備管理員權限

  • 授予應用可訪問性權限

  • 授予應用讀取通知的權限

  • 授予應用忽略電池優化的特權

  • 將自身設置為默認的SMS應用程序。

  • 禁用谷歌播放保護

  • 允許自己安裝未知的應用

Mandrake擁有一個非常特殊的模塊,就如CAD繪圖一樣用于繪制屏幕的部分,系統警報或其它視覺內容,通過修改屏幕的區域來改變用戶所看到的內容,從而在用戶點擊特定區域時使它們能夠獲得敏感的權限。如果授權失敗,應用將會彈出Toast警示框

1.授予可訪問性權限

首先他構造了手機設備上可訪問性服務列表初始視圖,將“Iagree”復選框定位于自身開啟可訪問性服務的開關,當用戶點擊“Iagree” 它們將按下與自身對應的可訪問性條目。

高度復雜的間諜軟件Mandrake怎么用

圖2-4 誘導授予可訪問性權限

2.授予忽略電池優化權限

當用戶電量不足系統將會通過殺死后臺進程來優化電池壽命,授予應用可訪問性權限可以保證應用后臺進程不被系統殺死。

該應用構建的視圖中“allow”按鈕正對應著授予忽略電池優化權限的按鈕。當用戶按下“allow”按鈕便授予了該權限。

高度復雜的間諜軟件Mandrake怎么用

圖2-5 誘導授予忽略電池優化權限

服務器列表:

域名

 

IP地址

 

國家

 

Andro****mware.com

 

198.54.***.197

 

美國

 

nfmm****gflemt.top

 

198.54.***.197

 

美國

 

xjkbh****thnpl.top

 

198.54.***.212

 

美國

 

andro****mware.top

 

192.64.***.92

 

美國

 

androi****mware.cc

 

 

 

 

 

andro****mware.ir

 

3.125.***.66

 

美國

 

目標應用列表:

應用名稱

 

針對國家

 

Capital One Canada

 

加拿大

 

Desjardins mobile

 

services

 

法國

 

 

 

Sparkasse Ihre mobile

 

Filiale

 

德國

 

Postepay

 

意大利

 

Mein ELBA-App

 

奧地利

 

IKO

 

波蘭

 

UOB Mighty Singapore

 

新加坡

 

ABN AMRO

 

MobielBankieren

 

荷蘭

 

 

 

Scotiabank Mobile

 

Banking

 

英國

 

Bank of America Mobile

 

Banking

 

美國

 



以上就是高度復雜的間諜軟件Mandrake怎么用,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

乌鲁木齐县| 巨野县| 韶关市| 天镇县| 莒南县| 南城县| 徐汇区| 襄汾县| 福泉市| 汨罗市| 阿克陶县| 成都市| 清苑县| 潢川县| 正蓝旗| 九寨沟县| 巢湖市| 景洪市| 新巴尔虎左旗| 安国市| 政和县| 香格里拉县| 青浦区| 长岭县| 永宁县| 廊坊市| 滕州市| 亳州市| 扎兰屯市| 高平市| 中西区| 疏附县| 绥德县| 施秉县| 乳山市| 宁阳县| 韩城市| 长兴县| 邢台县| 泸溪县| 潞城市|