當(dāng)前位置：首頁(yè) 資訊 quickboot教程

quickboot教程

導(dǎo)讀據(jù)稱，在2019年至少有80萬部移動(dòng)設(shè)備成為HtBot僵尸網(wǎng)絡(luò)的犧牲品，其中絕大多數(shù)受害者都是俄羅斯銀行的客戶。近日，網(wǎng)絡(luò)安全公司趨勢(shì)科技對(duì)捕獲的Geost樣本進(jìn)行了逆向工程，旨在幫助大家對(duì)這種新型安卓銀行木馬有一個(gè)更深入的了解。技術(shù)分析；根據(jù)趨勢(shì)科技的說法，Geost隱藏在某些惡意APP中。這些APP在啟動(dòng)后會(huì)請(qǐng)求一系列權(quán)限，而一旦受害者同意授予，就會(huì)遭到感染。例如，由趨勢(shì)科技捕獲的Geost樣本就隱藏在一款名為“установка”（相當(dāng)于中文中的“設(shè)置”）的惡意APP中。該APP盜用了谷歌應(yīng)用商店Google Play的圖標(biāo)來偽裝自己，且圖標(biāo)在APP啟動(dòng)后將從手機(jī)屏幕上消失。電腦；圖1.使用Google Play圖標(biāo)的установка APP。

quickboot教程(Quickboot)Geost，一種由Stratosphere實(shí)驗(yàn)室的SebastianGarcía、Maria Jose Erquiaga和Anna Shirokova在追蹤HtBot僵尸網(wǎng)絡(luò)時(shí)發(fā)現(xiàn)的新型安卓銀行木馬。據(jù)稱，在2019年至少有80萬部移動(dòng)設(shè)備成為HtBot僵尸網(wǎng)絡(luò)的犧牲品，其中絕大多數(shù)受害者都是俄羅斯銀行的客戶。近日，網(wǎng)絡(luò)安全公司趨勢(shì)科技對(duì)捕獲的Geost樣本進(jìn)行了逆向工程，旨在幫助大家對(duì)這種新型安卓銀行木馬有一個(gè)更深入的了解。技術(shù)分析根據(jù)趨勢(shì)科技的說法，Geost隱藏在某些惡意APP中。這些APP在啟動(dòng)后會(huì)請(qǐng)求一系列權(quán)限，而一旦受害者同意授予，就會(huì)遭到感染。例如，由趨勢(shì)科技捕獲的Geost樣本就隱藏在一款名為“установка”（相當(dāng)于中文中的“設(shè)置”）的惡意APP中。該APP盜用了谷歌應(yīng)用商店Google Play的圖標(biāo)來偽裝自己，且圖標(biāo)在APP啟動(dòng)后將從手機(jī)屏幕上消失。電腦圖1.使用Google Play圖標(biāo)的установка APP在啟動(dòng)后，установка APP會(huì)請(qǐng)求設(shè)備管理員權(quán)限。這顯然是不尋常的，因?yàn)楹戏ˋPP通常都不會(huì)這么做。一旦受害者點(diǎn)擊“同意”，便會(huì)在不知不覺間授予Geost一些重要權(quán)限，包括對(duì)短信的訪問權(quán)限，以及對(duì)來自網(wǎng)銀APP的消息的訪問權(quán)限。通過讀取這些消息，Geost便能夠收集包括受害者姓名、余額以及其他和銀行賬戶相關(guān)的詳細(xì)信息。而只需要單擊幾下，攻擊者便可以悄無聲息地從受害者的銀行賬戶中轉(zhuǎn)移資金。電腦圖2.請(qǐng)求設(shè)備管理員權(quán)限圖3.用于請(qǐng)求設(shè)備管理員權(quán)限的代碼如上所述，惡意APP在啟動(dòng)后還會(huì)隱藏自己的圖標(biāo)，目的是誤導(dǎo)受害者認(rèn)為該APP已經(jīng)從手機(jī)上刪除，進(jìn)而隱藏其惡意行為。為實(shí)現(xiàn)長(zhǎng)久駐留，惡意APP還會(huì)為BOOT_COMPLETED和QUICKBOOT_POWERON廣播進(jìn)行注冊(cè)。（APP可通過監(jiān)聽BOOT_COMPLETED和QUICKBOOT_POWERON實(shí)現(xiàn)自啟動(dòng)）圖4.注冊(cè)服務(wù)以啟動(dòng)廣播至于Geost的完整功能，我們可以從其支持的命令列表看出，具體如下：#conversations-從短信中收集各種信息，并上傳到C＆C服務(wù)器；#contacts-收集電話簿中聯(lián)系人列表，并上傳到C＆C服務(wù)器；#calls-收集呼出的電話，并上傳到C＆C服務(wù)器；#apps-收集已安裝APP的名稱，并上傳到C＆C服務(wù)器；#bhist-；#interval {set:number}-設(shè)置獲取C＆C服務(wù)器命令的時(shí)間段；#intercept-設(shè)置攔截來自指定號(hào)碼的短信（全部或指定號(hào)碼）；#send id:, to:, body:-發(fā)送短信；#ussd {to:address, tel:number}-通過USSD框架撥打電話；#send_contacts-發(fā)短信給電話簿中的所有聯(lián)系人；#server-設(shè)置運(yùn)行時(shí)間；#check_apps {path:uri_to_server}-將正在運(yùn)行的APP列表上傳到C＆C服務(wù)器，從參數(shù)中定義為error.zip的路徑下載archive.zip文件，然后將其解壓縮；#send_mass {messages: {to:address, body:text}, delay:ms}-同時(shí)發(fā)送多條短信給不同的聯(lián)系人；#lock-從ClearServiceRunnable啟動(dòng)RLA服務(wù)，以攔截AKEYCODE_HOME、KEYCODE_CAMERA和AKEYCODE_FOCUS事件，以及攔截onBackPressed()，使鈴聲靜音，清除所有短信通知等；#unlock-禁用#lock命令，并通過終止ClearServiceRunnable來解鎖手機(jī)；#makecall {number:tel_number}-使用標(biāo)準(zhǔn)的android.intent.action.CALL API撥打電話；#openurl {filesDir=j:url}-打開指定網(wǎng)頁(yè)；#hooksms {number:tel_number}-掛接到號(hào)碼，即將所有收到的短信轉(zhuǎn)發(fā)到參數(shù)中的號(hào)碼；#selfdelete-將任務(wù)時(shí)間設(shè)置為無法解析的字符串值，這將導(dǎo)致調(diào)度任務(wù)停止。圖5. C＆C命令列表結(jié)語內(nèi)嵌Geost木馬的惡意APP出現(xiàn)再次提醒我們，在安裝某款A(yù)PP時(shí)，一定要仔細(xì)查看它所請(qǐng)求的權(quán)限。當(dāng)然，盡量從官方渠道下載所需的APP仍是你最正確的選擇。