溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關Clicker木馬新家族中的Haken木馬是怎樣的,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。
Clicker木馬是廣泛的惡意程序,旨在提高網站訪問率在線賺錢。它們通過單擊鏈接和其他交互式元素來模擬網頁上的用戶操作,實現無聲地模擬與廣告網站的交互,自動訂閱付費服務。該木馬是一個惡意模塊,它內置于普通應用程序中,例如字典,在線地圖,音頻播放器,條形碼掃描儀和其他軟件。
最近暗影實驗室在Google Play上發現了一個新的Clicker惡意軟件家族Haken木馬。該應用是一款提供位置方向服務的應用。與利用不可見Web視圖的創建和加載來執行惡意點擊功能的Clicker木馬和Joker木馬不同,Haken木馬通過將本機代碼注入Facebook和Google廣告SDK的庫中來實現模擬用戶點擊廣告功能。通過點擊廣告來提高網站訪問量賺取錢財。
圖1-1Google Play上應用信息
用戶抱怨該應用會彈廣告,建議謹慎下載。
圖1-2 用戶對該應用的評論
該程序的第一個入口是BaseReceiver廣播接收器。其中注冊了許多action,使該廣播很容易被觸發。
圖2-1 注冊BaseReceiver廣播
在該接收器內加載了lib庫文件。通過在native層的startTicks函數調用本地com / google / android / gms / internal / JHandler”類中的“clm”方式。
圖2-2 加載庫文件反射調用本地方法
此方法中注冊了兩個工作線程和一個計時器。其中wdt線程與C&C服務器通信獲取最新配置信息。而w線程由定時器觸發用于檢查配置信息并將代碼注入到廣告SDK(如Google的AdMob和Facebook)的與廣告相關的Activity類中。
圖2-3 注冊兩個工作線程
在wdt線程中與服務器交互獲取最新配置信息。服務器地址被編碼:http://13.***.34.16。
圖2-4 服務器交互
服務器下發的配置信息,其中包括用于更新服務器交互的地址。
圖2-5 從服務器獲取配置信息
w線程在設備已聯網且應用已定時啟動60000ms的情況下,啟動活動。通過生成在1-4間的隨機數匹配到啟動哪個活動,這四個活動用于將代碼注入到Facebook和Google廣告類中,實現加載廣告并模擬點擊廣告。
圖2-6 注入Facebook和Google
圖2-7 加載廣告
模擬用戶點擊,點擊從廣告SDK中接收到的廣告,這些功能都是通過反射機制實現的。
圖2-8點擊從廣告SDK中接收到的廣告
我們通過于應用與服務器交互的地址進入到該應用的服務器后臺,發現該應用的開發者使用XAMPP平臺搭建了個人網站和服務器。
圖2-9 Haken木馬個人網站
服務器后臺包含2個js文件。Js文件用于代碼的注入實現模擬點擊功能。
圖2-10 Haken木馬服務器后臺
| 應用名 | 包名 | Sha256 |
|---|---|---|
| Compass | com.haken.compass | 30bf493c79824a255f9b56db74a04e711a59257802f215187faffae9c6c2f8dc |
| Qrcode | com.haken.qrcode | 62d192ff53a851855ac349ee9e6b71c1dee8fb6ed00502ff3bf00b3d367f9f38 |
| Coloring Book | com.faber.kids.coloring | 381620b5fc7c3a2d73e0135c6b4ebd91e117882f804a4794f3a583b3b0c19bc5 |
| Fruits Coloring Book | com.vimotech.fruits.coloring.book | f4da643b2b9a310fdc1cc7a3cbaee83e106a0d654119fddc608a4***7c5552a3 |
| Soccer Coloring Book | com.vimotech.soccer.coloring.book | a4295a2120fc6b75b6a86a55e8c6b380f0dfede3b9824fe5323e139d3bee6f5c |
| Fruit Helix Jump | mobi.game.fruit.jump.tower | e811f04491b9a7859602f8fad9165d1df7127696cc03418ffb5c8ca0914c64da |
| Number Shooter | mobi.game.ball.number.shooter | d3f13dd1d35c604f26fecf7cb8b871a28aa8dab343c2488d748a35b0fa28349a |
“Joker”惡意軟件家族最早于2019年9月在Google Play上被發現,暗影實驗室在2019年9月28號通過反間諜之旅—模擬訂閱高級服務一文向用戶發出風險預示。
該惡意軟件被用來向用戶訂閱高級服務,無聲地模擬與廣告網站的自動交互包括模擬點擊和輸入高級服務訂閱的授權代碼。在過去幾個月中Joker不斷出現在Google Play商店中。
我們最近在Google Play上發現了另外四個Joker樣本,已下載130,000+次。以下為樣本信息。
| 應用名 | Sha256 |
|---|---|
| com.app.reyflow.phote | 08f53bbb959132d4769c4cb7ea6023bae557dd841786643ae3d297e280c2ae08 |
| com.race.mely.wpaper | 44102fc646501f1785dcadd591092a81365b86de5c83949c75c380ab8111e4e8 |
| com.landscape.camera.plus | 9c713db272ee6cc507863ed73d8017d07bea5f1414d231cf0c9788e6ca4ff769 |
| com.vailsmsplus | 1194433043679ef2f324592220dcd6a146b28689c15582f2d3f5f38ce950d2a8 |
關于Clicker木馬新家族中的Haken木馬是怎樣的就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
