Odaily星球日报■Cerberus:Android平台新型木马病毒( 二 )
以下代码片段显示展示出了负责计步器程序验证的逻辑:
本文插图
工作原理当恶意软件首次在设备上启动运行时 , 它将首先从应用程序抽屉中隐藏图标 。 然后它会请求对应的辅助功能权限 。
如截图所示:
本文插图
当用户授予此权限后 , Cerberus 通过授予自身其他权限(例如发送短信和拨打电话权限)开始进行权限滥用 , 无需用户任何交互 。 同时它还会禁用 Google Play 保护服务(Google 在设备上预装的防病毒解决方案) , 以防止未来发现或删除木马程序 。 在方便地授予自己额外的权限并确保木马在设备上的持久性之后 , Cerberus 将受感染的设备注册在僵尸网络中 , 并等待来自 C2 服务器的命令 , 同时还准备好执行窗口覆盖攻击 。
下面列出了受分析的 Cerberus 样本所支持的命令 , 可以看到其提供的常见自动化行为:
本文插图
Cerberus 功能Cerberus 恶意软件具有和其他大多数 Android 平台银行木马相同的功能 , 例如使用窗口覆盖攻击、短信控制和收集联系人列表 。 该木马还可以利用按键记录来扩大攻击范围 。 总体而言 , Cerberus 具有相当普遍的功能列表 。 尽管该恶意软件是重新编写的 , 但目前似乎没有任何创新功能 。 例如 , 一些更高级的银行木马现在提供注入反向连接代理 , 录屏甚至远程控制等功能 。
Cerberus 嵌入了如下功能 , 可让自己保持在监控之下并成功实施攻击:
Overlaying(窗口覆盖): 动态 (从 C2 获取界面劫持信息)
按键记录
SMS harvesting:短信列表
SMS harvesting:短信转发
手机设备信息
收集联系人列表
收集应用程序列表
定位信息收集
Overlaying(窗口覆盖):目标列表更新
SMS: 短信发送
Calls: 请求生成 USSD
Calls: 呼叫转移
Remote actions:应用安装
Remote actions:应用启动
Remote actions:应用移除
Remote actions:展示任意网页
Remote actions:屏幕锁定
Notifications:通知推送
C2 Resilience:辅助 C2 列表
Self-protection:隐藏应用图标
Self-protection:防止被移除
Self-protection:模拟器检测
Architecture:模块化
覆盖攻击大多数 Android 平台银行木马使用窗口覆盖攻击来诱骗用户提供其个人信息(包括但不仅限于:信用卡信息、银行凭据、邮件凭据) , Cerberus 也不例外 。 在这种特殊情况下 , 该自动化程序会滥用辅助功能服务来获取前台应用程序的应用程序包名称 , 并确定是否显示网络钓鱼覆盖窗口 , 例如如下代码片段所示:
本文插图
攻击目标
网络钓鱼窗口覆盖的一些示例如下图所示 。 它们有两种类型:凭据窃取程序(前面两个)和信用卡信息抓取器(最后一个) 。
本文插图
本文插图
本文插图
附录中提供了在市面上观察到的明确的 30 个活跃应用目标的列表 。
实际目标列表包含:
7 种法国银行应用程序
推荐阅读
![[雅马哈]1.5w左右预算怎么选车(二),为大家带来名厂性价比好车](http://img88.010lm.com/img.php?https://image.uc.cn/s/wemedia/s/upload/2020/206980fc87361e9850dd7cdefe78c243.jpg)
- 淄博政务督查:“一网通”考核平台获《法制日报》点赞,快看!淄博市法治政府建设督察
- 【北京日报客户端】4000多家中小银行主要经营指标处在合理区间
- 【人民日报】我爱你中国,多地中国留学生晒健康包:感谢祖国
- 『北京日报客户端』疫情影响是否会超过2008年金融危机?央行:目前还没有
- 『人民日报客户端』35+55!持续关注!
- 人民日报客户端▲非洲49国确诊新冠肺炎超6000例
- 经济日报:华为完成中国优惠贷款合作项目——“智慧塞内加尔”助力塞政府举行首次远程内阁会议
- 人民日报海外版▲这个中国留学生“火了”,自制疫情图引英国网友关注
- 『北京日报』医院政府机构优先,亚马逊停止向公众出售N95口罩
- 「广西日报」三年后变成怎样?,时光的列车!正式启动“新战略”的恒大