Google Play应用程序窃取了未经授权的购买窃取文本和胡椒

2021-04-20 20:10:09

安全研究人员已经发现了一批批次窃取用户的文本消息的Google Play应用程序,并在用户的角色进行了未经授权的购买。

恶意软件,隐藏在八个应用程序中有超过700,000个下载,劫持短信消息通知,然后制定未经授权的购买,McAfee Mobile研究人员Sang Ryol Ryu和Chanung Pak周一表示。 McAfee正在调用恶意软件和etinu。研究人员表示,对受控感染设备的攻击者操作服务器的调查显示,它显示了从用户&#39存储的各种日期;手机,包括其移动运营商,电话号码,短信消息,IP地址,国家和网络状态。服务器还存储了自动更新的订阅,其中一些看起来像这样:

恶意软件是让人喜致的,如果没有相同,则为称为Joker的Android恶意软件的多产家庭,这也窃取了SMS消息并向用户签署了昂贵的服务。 “恶意软件劫持通知侦听器窃取传入的SMS消息,如Android Joker恶意软件,如果没有短信阅读许可,”研究人员指的是etinu。 “与链系统一样,恶意软件然后将通知对象传递到最终阶段。当通知从默认短信包中出现时,最终将使用WebView JavaScript接口发送消息。“

虽然研究人员说Etinu是一个恶意软件家族,但是从小丑的恶意软件系列,来自Microsoft,Sophos和其他公司的安全软件在他们的一些新发现的恶意应用程序的检测名称中使用了Joker。 Etinu的解密流量和多级有效载荷的使用也是相似的。

在一封电子邮件中,McAfee的Sang Ryol Ryu写道:“虽然Etinu看起来与Joker非常相似,但深入了解其加载有效载荷,加密,目标地理学的过程与Joker不同。”

Etinu有效载荷出现在一个android资产文件夹中,其中文件名(例如“cache.bin,”设置.bin,“)”data.droid,“或"图像文件。"

如上面的解密流程图所示,从播放下载的主安装文件中的隐藏恶意代码打开一个名为“1.png”的加密文件,并使用与包名称相同的键解密它。然后执行生成的文件“Loader.dex”,从而导致对C2服务器的HTTP POST请求。

“有趣的是,这种恶意软件使用关键管理服务器,”McAfee研究人员写道。 “它请求来自服务器的服务器,为AES加密的第二个有效载荷,”2.png“。并且服务器将关键作为JSON的值返回。 此外,此恶意软件具有自更新功能。 当服务器响应“URL”值时,使用URL中的内容而不是“2.png”。 但是,服务器并不总是响应请求或返回秘密密钥。“