[Android]Android Cerberus 恶意样本分析( 二 )
本文插图
本文插图
计步机制触发与 C2 服务器通信在保活广播接收器组件中 , 实现了一个简单的计步器来触发木马与 C2 服务器的通信 。
本文插图
本文插图
更新攻击命令计步数量达到阀值后 , 启动 HBOxMrf 木马服务拉取 C2 服务器的攻击命令 , C&C 服务器地址为:http://94.156.77.32/gate.php目前服务已经无法正常访问 。 客户端与 C2 服务器交互流程如下:
1.首先拉取 C2 服务器下发的攻击命令 。
本文插图
2.如果响应命令为 ||no|| 则注册到 C2 服务器成为肉鸡设备
本文插图
3.如果命令包含 ||youNeedMoreResources|| 则下载 payload 并保存到 data/data/包名/apk/system.apk 文件中 。
本文插图
本文插图
4.更新攻击命令到 payload 等待完成攻击 。
本文插图
本文插图
忽略电池优化Cerberus 木马除了定时触发保活广播 , 还通过将自己加入电池优化白名单中来增强持续在系统中执行恶意活动的可能 。
本文插图
窃听短信消息保活广播接收器同时也在接收短信消息类型的系统广播 , 当收到此类型广播时则读取出短信内容和发信人并保存到配置文件中 , 为后续执行恶意活动窃取短信消息做准备 。
本文插图
激活设备管理员Cerberus 木马除了通过隐藏图标的方式防止感染者卸载自身外 , 还通过激活设备管理员权限来防止感染者卸载自身 , 同时也为了防止其他安全软件查杀卸载 Cerberus 木马 。
本文插图
启动后台服务诱导启用无障碍服务Cerberus 木马的所有敏感操作都严重依赖于无障碍服务的启用 , 其通过循环拉起 “启用无障碍服务界面” 来诱导感染者对其进行无障碍服务授权 。
本文插图
本文插图
请求窃听短信所需的权限请求窃取短信消息和联系人所需的权限 。 启动设备锁根据 lockDevice 标记执行设备锁操作 。
本文插图
本文插图
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/4880cd24e0d87b31faf1f19e1fe59ff2)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/5361821f857183929f430c35b57fd062)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/f4f2c5ac8a1433dcf95ab3a303f74457)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/b1b0fce9bf8fba6c794c87927e3699b3)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/e6e3505a2e78ce880f15434ff4a00749)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/e63c4a384d759469510129c3bcfca996)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/bf0615a2fa5679d96f011cfa00cdb3fd)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/d397943abdcf7e40da9264afb8803679)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/768bd7f0de0ad42ba63eae3d4415ed47)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/9e8710fc87126815d9f2573261e398f3)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/da01423d1b979d41d21c8e95f02da85d)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/e979ec094bba91320afb0e7e62743821)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/0759da9231638643c8bda350ef91a035)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/6334874ad46f4d860542b5bee9d59597)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/fba2f1a3167ac417b1beae8c53e1999d)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/e10e6177c3d335ed69ed73bdf857a925)
![[Android]Android Cerberus 恶意样本分析](http://ttbs.guangsuss.com/image/dd2d08b95c0d97a0a2fa310b476b8ad9)
推荐阅读
- ##苹果用户不用羡慕 Android 的长截图,5 款 iOS 长截图应用横评
- 「」OPPO多款机型进入Android Enterprise名单,手机安全体验有保障了
- 『』原创 外媒称Nokia寻求花旗投资避免遭恶意收购,合作规模高达1230亿元!
- 『』联想Z5 Pro GT获得ZUI 11.5.223更新:升级至Android 10版本
- 版本@你用上安卓最新版了吗?版本分布数据显示Android10目前占比仅8%
- 『蓝点网』你用上安卓最新版了吗?版本分布数据显示Android10目前占比仅8%
- 野肆li:一加 8/Pro 手机包装盒已采用谷歌 Android新Logo 标识
- 『android中文网』鲁大师公布2020年Q1手机UI排行榜 一加氢OS排名第一
- 移动端■Mozilla为Android端Firefox Preview推出更多扩展程序
- 「搜狐新闻」[图]外媒看衰Pixel 4a:除Android生态忠诚度外无法和iPhone 9对垒