【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方

admin 2022年5月4日20:34:09评论98 views字数 994阅读3分18秒阅读模式
【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方

关键词

木马程序


VajraSpy 是一个安卓远控木马,使用指定的谷歌云存储服务来存储窃取的数据。研究人员发现,APT-Q-43 组织使用 VajraSpy 木马伪装成名为 Crazy Talk的聊天应用程序,攻击巴基斯坦军方人员。

解压缩 CrazyTalk.apk样本可以发现多个 classes.dex,多个 classes.dex文件使用 Multidex 进行加载。


【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方


该木马使用 Firebase 云存储服务来存储从失陷设备上收集的数据。

应用的入口点为 classes2.dex 的 MainActivity,其中的 onCreate()函数确认应用程序拥有“Notification Access”和“Accessibility Service”的权限,并收集 Firebase Cloud Messaging(FCM)的 Token。


【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方


恶意软件模拟一个聊天应用程序要请求的权限:


【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方


恶意软件初始化 Firebase 存储服务:


【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方


在 FirebaseStorage 初始化后,应用程序通过启动 StorageReference 来收集受害者的个人信息:


【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方


     如上所示,putBytes()函数通过 StorageReference对象将数据上传到 Firebase 存储服务。


     除了上传的 contacts.json 文件,恶意软件还会收集其他用户数据,如短信、通话记录、WhatsApp(包括企业帐户)消息、 Signal 应用程序消息、设备详细信息、受害者设备的应用程序列表等。


【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方


     WhatsApp、WhatsAppBusiness 或 Signal 的消息会暂时存储在 SQLite DB 的指定数据表中,然后将其上传到指定的 Firebase 云存储服务。


【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方
【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方
【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方


总结


     最近,安卓恶意软件势头正盛,各种不同的恶意软件都在快速攀升。攻击者也在积极利用各种能够利用的手段(如云存储服务等),将攻击过程隐蔽化、合法化。


   END  

阅读推荐

【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方【安全圈】国资委:将网络安全纳入央企负责人经营业绩考核

【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方【安全圈】黑客利用VMware RCE漏洞安装后门

【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方【安全圈】上帝视野!美企监视全球数十亿台手机,实时观测俄军/CIA特工动向

【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方【安全圈】谷歌今起强制实施安卓APP隐私保护新政


【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方
【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方

安全圈

【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方


原文始发于微信公众号(安全圈):【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月4日20:34:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全圈】安卓木马VajraSpy伪装成聊天软件,瞄准巴基斯坦军方http://cn-sec.com/archives/962752.html

发表评论

匿名网友 填写信息