本帖最后由 zxcnny930 于 2019-8-29 13:28 编辑
最近,流行的CamScanner - 手机PDF创建者应用引起了我们的注意。 据Google Play称,它的安装次数已超过1亿次。 开发人员将其定位为扫描和管理数字化文档的解决方案,但过去一个月留下的负面用户评论表明存在不需要的功能。
[/table]在分析应用程序后,我们看到其中包含恶意dropper组件的广告库。 以前,在中国制造的智能手机上预装的恶意软件中经常会发现类似的模块。 可以假设添加此恶意软件的原因是应用开发者与不道德的广告客户的合作关系。卡巴斯基解决方案将此恶意组件检测为Trojan-Dropper.AndroidOS.Necro.n。 我们向Google公司报告了我们的调查结果,该应用程序已立即从Google Play中删除。
关于Necro.n的技术细节
当应用程序运行时,dropper会解密并执行app资源中mutter.zip文件中包含的恶意代码。
接下来,解密名称为“comparison”的配置文件。
解密后,我们使用攻击者服务器的地址获取以下配置。
[Asm] 纯文本查看 复制代码 {
"hs": {
"server": "https://abc.abcdserver[.]com:8888",
"default": "https://bcd.abcdserver[.]com:9240",
"dataevent": "http://cba.abcdserver[.]com:8888",
"PluginServer": "https://bcd.abcdserver[.]com:9240"
},
….
}
Dropper从这些URL下载其他模块:
然后它执行其代码:
上述Trojan-Dropper.AndroidOS.Necro.n功能执行恶意软件的主要任务:从恶意服务器下载并启动有效负载。 因此,该模块的所有者可以以他们认为合适的任何方式使用受感染的设备,从显示受害者侵入性广告到通过向付费订阅收取移动帐户中的资金。
直接线上翻译
原文在此https://securelist.com/dropper-in-google-play/92496/
| 
[复制链接]
发表于 2019-8-29 13:17
|
发表于 2019-8-29 17:24
