基于XMPP协议的新型安卓恶意软件


发布人:admin分类:网络安全浏览量:28发布时间:2017-12-12

近日,安全研究人员发现一款安卓恶意软件新变种,它伪装成Flash播放器APP诱使用户下载,并以美国国家安全局的名义威胁受害用户缴纳赎金。此外,它利用即时通信协议XMPP与C&C服务器进行通信,以此躲避安全设备的跟踪和监测。

利用XMPP协议进行通信

根据Check Point软件技术公司的安全研究人员的消息,他们发现一款伪装成视频播放器的新型安卓恶意软件,该恶意软件实现了一种不同于任何其他恶意软件的通信方法。这个安卓恶意软件之所以与众不同,主要是因为它使用了即时通讯协议XMPP(可扩展消息与存在协议)与服务器建立通信。

Check Point发布的一篇报告中陈述道:

“我们发现的这款恶意软件样本采用了不同的方式来进行通信。它使用即时消息传递协议XMPP(可扩展消息与存在协议)从受感染的设备发送信息和接收命令,例如用一个给定的密钥加密用户文件、发送短信、拨打电话等等。使用XMPP协议使得安全设备更加难以跟踪恶意软件C&C流量,以及将其与其他合法的XMPP流量进行区别开。并且,它还使得通过监测可疑URL来阻塞流量变得不可能。此外,因为这种技术使用了外部库函数来处理通信,所以这款恶意软件不需要在受害者设备上安装任何额外的应用程序。因为XMPP支持TLS,所以客户端与服务器之间的通信也进行了本地加密。”

感染过程

感染开始于受害者下载一个伪装成Flash播放器的应用程序,然后如果用户安装了该APP并授权了其请求的权限,那么该恶意软件就会加密移动设备上的所有数据。感染成功后,这款恶意软件就会向受害用户显示一条消息,并声称来自美国国家安全局(NSA),这条消息会警告用户侵犯了版权,并威胁他们说如果不在48小时内支付罚款,那么罚款金额将会变成三倍。

实际上,这已经不是网络骗子第一次在他们的社会工程策略中滥用国家安全局消息,例如移动恶意软件Koler和Simplocker(Freebuf相关报道1报道2)。

研究人员已经找到数十个用于控制安卓恶意软件的XMPP账户。

“在我们的研究过程中,我们发现许多与此次感染相关的XMPP C&C账户。在过去的几周里,我们已经通知了相关的XMPP服务器运营商,并且这些账户已经被停用。这一措施将有效地破坏目前感染的任何客户端的通信,并能够防止恶意软件作者控制这些设备。此外,任何新感染这款恶意软件的安卓设备上的文件现在都是安全的,因为恶意软件在没有C&C命令时已经无法有效地加密这些文件。不幸的是,这次恶意活动中的新样本仍然几乎每天都会出现。”

感染区域信息

大多数感染发生在美国,其次是亚洲。根据Check Point的消息,目前已经有数以万计的设备感染了该恶意软件,并且将近10%的受害者支付了网络罪犯要求的费用,这些费用从200美元到500美元不等。

专家们注意到,骗子们是根据受害者的地理位置来精心编制赎金消息,使其看起来更加像来自国家安全局的消息。感兴趣的读者可以看一下这份报告,报告中给出了有关该安卓恶意软件的详细信息,包括危害指标。

*参考来源:securityaffairs,转载请注明来自FreeBuf黑客与极客(FreeBuf.com)



被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21214358(PV) 页面执行时间:135.273(MS)
  • xml
  • 网站地图