[Android]Android Cerberus 恶意样本分析( 三 ) |DEX|软件|Flash|

本文插图

更新辅助服务状态到 payload无障碍服务无障碍服务启用后通过监控界面元素，模拟点击界面授权按钮来完成权限的自我授权和设备管理员的激活操作。同时监控界面活动是否正在进行安全扫描、是否正在卸载恶意软件来避免木马被查杀和卸载。包括监控界面是否打开目标活动，将其通知给 payload 完成界面劫持攻击操作。在无障碍服务中模拟点击激活按钮，完成激活设备管理员防止被用户卸载，也为后续锁定设备提供权限支撑。

本文插图

本文插图

监控界面是否在 Google Play 保护机制扫描界面，如果是则发送回退事件防止被查杀。

本文插图

监控当前前台活动发送到 payload 执行相关攻击操作。

本文插图

木马传播机制Cerberus 木马的作者曾在 Twitter 上表明，其传播采用钓鱼网站以 Flash Player 的形式进行传播来诱导用户下载安装恶意木马。建议用户在网站下载应用时应特别注意网站的真实性和安全性避免被钓鱼或劫持攻击。

本文插图

本文插图

本文插图

总结Cerberus 恶意木马通过字符串混淆、执行流混淆、动态加载代码、动态解密字符串和实现了一个简单的计步器机制来对抗安全人员的分析工作。同时利用了 Android 无障碍服务的屏幕监控功能，通过监控手机屏幕内容的改变事件，模拟点击危险权限授权按钮进行自我授权、监控用户的安全扫描和卸载行为进行自我保护以及监控前台应用活动界面完成对目标的劫持攻击。对于本次分析遗憾的是由于 C2 服务器的关闭导致无法获取到核心的 payload 代码和相关恶意指令，从而无法进行更加全面的分析木马的攻击机制。但 payload 想要完成攻击终究还是依赖于无障碍服务的启用，我相信 Cerberus 木马家族的新变种也会依赖于该功能，所以建议在日常使用 Android 设备时应谨慎启用设置中的无障碍服务开关。
Cerberus 仍是目前较为活跃的 Android 平台新型木马，其作者通过租赁的方式进行盈利，同时在黑市和 Twitter 上宣传木马内容从而吸引恶意活动参与者购买此木马。
此类木马危害极大，普通用户在下载相关软件时请首先确认网站的真实性，确保软件来源的可靠性防止被钓鱼攻击下载到此类恶意软件。
【[Android]Android Cerberus 恶意样本分析】
参考文章

[Android]Android Cerberus 恶意样本分析( 三 )

推荐阅读

杭州|江苏男子\神秘消失\12年，家属：事发后再婚妻子烧毁其全部衣物

「21世纪经济报道」呼吸机紧缺！企业跨界“大作战”：美敦力开源，特斯拉也来了

手机怎么投屏到电脑的软件

央视新闻客户端|加拿大新增350例新冠肺炎确诊病例累计113556例

怎么关闭微信上的腾讯新闻提醒微信怎么关闭腾讯新闻提醒

解锁早餐新姿势，东菱三明治早餐机带你玩转早餐

财经Share|不料反遭当头一棒，损失两架直升机，土耳其夜袭库尔德

楚国是现在的什么地方

瑞丽网|说真的，看了新剧后，我同意刘诗诗当空洞美人了！

解放网|这类媒体“功不可没”，美国深陷新冠危机

金牛座|恋爱定力最强大的星座，是主动保持距离，还是全身心投入

运营商财经网特斯拉电池日发布新电池“4680” 增大体积后造成更多发热风险怎么解决？

楚天都市报|维也纳遭遇高温天气

房子靠马路很吵，怎样装修静音

畅销|贵州贞丰：端午节将至糯食产品畅销

柯佳嬿|孙莉携仨子女踏冰，多多素颜出镜脸型变精致，网友直呼被美晕了

崇祯在位多少年被推翻的?崇祯每年发生的事_2

民族|汉人在此国被划分为三个民族，其中两个民族，划分依据很奇特

大喜子|阴阳师山风新皮肤冬岚之刃：把白藏主当披风？将有更多冬日皮肤

中金|中金基金QDII资格申请材料获接收年内增至3家