反间谍之旅:针对伊朗的网络之战_用户

反间谍之旅:针对伊朗的网络之战_用户
反特务之旅:针对伊朗的网络之战 导读:“土耳其轰炸美盟友”、“伊朗游轮被炸”等一系列的重大事件的发作无疑显示出中东地区严重的形势。此时此刻的中东犹如一个**桶,一不小心就会呈现战役危险。不过,中东形势尽管很乱,但也首要是两大利益集团操控着局势:一个是以美国、以色列、沙特等为攻的集团,一个是以俄罗斯、伊朗和叙利亚等为守的集团。伊朗作为其间实力强壮的国家之一,纵然会成为仇视国家的进犯方针。 近期,阴影移动安全实验室在日常监测中,发现了一款中文名叫“费雷顿·莫希里”的特务木马软件,研究人员剖析发现,该软件是专门针对伊朗开发的,其首要意图是盗取情报。样本发动后并没有任何作用,但它却默默地在后台长途的监控用户行为,比方录视频、对通话进程录音、拍照相片等,还会搜集用户通讯录联系人、短信息、准确方位、阅读器记载、账户等信息,并将搜集的信息上传到指定的服务器。 图1 “费雷顿·莫希里”的装置图标 一、基本信息 样本MD5:43BD113A0952172BCBA57055F5A707BB 装置称号:??????????? 中文名:费雷顿·莫希里 样本包名:air.com.arsnetworks.poems.moshiri 二、运转原理 该样本经过电量改变播送唤醒歹意服务AMService,然后在AMService服务中监听很多体系播送(如:网络改变播送、短信播送、电话拨号播送、电话关机播送、),监听数据库的改变(如:短信数据库、阅读器书签数据库),激活各种歹意行为,其运转进程首要分两步,第一步是经过各种体系播送,监听用户手机动态,确保歹意程序在后台继续运转。并对用户通话记载进行录音、搜集用户通讯录、接纳的短信、阅读器记载、联系人、账号、装置运用等信息;然后上传到指定服务器,第二步是从长途服务器获取很多的操控指令,然后依据操控指令履行搜集用户信息,经过录制视频以及拍照相片监控用户行为,上传继续搜集的情报、并删去指定文件等操作。 图2 样本运转流程图 三、代码剖析 3.1发动歹意服务,监听很多体系播送 发动歹意服务AMService,监听用户手机短信数据库改变、阅读器书签数据库改变、基站信息改变、注册网络改变播送、接纳短信播送、电话拨号阻拦播送。 图3 监听体系播送 3.2盗取用户隐私数据 注册接纳短信播送,监听短信数据库改变,不管是接纳短信、发送短信、修正短信,短信数据库都会发作改变,当短信数据库发作改变或用户接纳到短信时,该程序搜集用户的短信号码和短信内容,而且将内容保存至log文件。 图4 监听短信改变,搜集短信号码和内容 图5 搜集用户接纳的短信号码和内容 注册电话拨号播送,当电话为来电状况时,匹配来电号码的尾号,假如号码匹配上,且用户已接听(从此看出进犯者是有意图性针对特定号码进行进犯。),将开端对通话进程进行录音。 图6 对用户通话进程录音 监听阅读器书签数据库改变,获取用户网页阅读记载。 图7 获取用户网页阅读记载 监听基站信息改变,保存基站经纬度信息。 图8 获取基站经纬度信息 获取用户一切短信信息、联系人信息、通话记载信息、账号信息、Google阅读器书签信息。 图9 获取短信、通讯录、通话记载、账号、阅读器书签等信息 将获取的一切信息经过AES算法加密并保存至后缀名为log的文件。 图10 保存用户信息到指定文件(后缀为.log) 获取一切后缀名为.log的文件,并上传至服务器。 http://www.*****.com/mmh/upload-log.php。 图11 上传保存获取信息的文件 图12 截获的数据包 3.3长途操控行为 该样本从指定服务器获取操控端下发的指令,经过一级指令和二级指令,两层操控。 服务器URL:http://www.****/mmh/get-function.php?uuid=14768afcde85653d 图13 加载长途服务器 操控指令思想导图: 图14 操控指令思想导图 远控指令具体解析: 一级指令”Get”,修正配置文件。 图15 修正配置文件 一级指令”Get”,二级指令”AllLog”,导出.log文件。 图16 导出.log文件。 一级指令”Get”,二级指令”AllContact”,获取一切联系人信息。 图17 获取一切联系人信息。 一级指令”Get”,二级指令”AllFile”,获取一切文件。 图18 获取一切文件。 一级指令”Get”,二级指令”AllSms”,获取一切短信信息。 图19 获取一切短信信息 一级指令”Get”,二级指令”AllCall”,获取一切通讯录信息。 图20 获取一切通讯录信息 一级指令”Get”,二级指令”AllApp”,获取手机已装置运用信息。 图21 获取手机已装置运用信息 一级指令”Get”,二级指令”AllBrowser”,获取用户阅读器记载。 图22获取用户阅读器记载 一级指令”Get”,二级指令”AllAccount”,获取用户一切账号。 图23 获取用户一切账号 一级指令”Get”,二级指令”AllSetting”,获取设置信息。 图24 获取设置信息 一级指令”Get”,二级指令”Location”,获取准确方位信息。 图25 获取准确方位信息 一级指令”Get”,二级指令”HardwareInfo”,获取设备硬件信息。 图26 获取设备硬件信息 一级指令”Get”,二级指令”File”,更新从操控端获取的指定文件内容,并发送到服务器。 图27 更新从操控端获取的指定文件内容 一级指令”Take”,二级指令”Audio”,录音并保存至/sdcard//Android/data/com.android.browser/files目录。 图28 录音 一级指令”Take”,二级指令”Audio”,录制视频并保存至/sdcard//Android/data/com.android.browser/files目录。 图29 录制视频 一级指令”Take”,二级指令”Photo”,拍照相片并保存至/sdcard//Android/data/com.android.browser/files目录。 图30拍照相片 一级指令”Delete”,二级指令”SMS”,删去短信。 图31 删去短信 一级指令”Delete”,二级指令”Call”,删去通讯录。 图32 删去通讯录 一级指令”Delete”,二级指令”File”,删去操控端指定的文件。 图33 删去操控端指定的文件 一级指令”Reset”,二级指令”AllCommand”,将保存一切获取信息的文件上传到服务器后,删去一切文件。 图34 删去一切保存获取信息的文件 四、同源剖析 经过对费雷顿·莫希里运用样本的剖析,咱们发现了一批与该样本具有相同文件结构的宗族样本。他们的进犯方针都是伊朗,且经过仿冒与伊朗当地文明相关的运用名来骗得用户装置运用,然后在后台长途监控用户行为,盗取用户隐私数据。以下为部分同源样本信息。 表4-1同源样本信息 MD5 装置称号 包名 4567824a45a818bc389d7eeae3c7b678 ??????????? jehaddareslam.sunnibook.net CC88F21406EAEED70A890F53E57C98B6 ??? ??? ????? com.ramadan.kareem.app FBD0AFE5BD3D0D61FEB21680B304D7AE ??????? ???? com.nidayehaq 86da3a7378e17b51ba83ba3333e86a32 ??? ??? ???? ???? ir.hukmi.moanzalalloh 155316526FF476698494E90EFC1127BC Iranian Woman Ninja com.coolwallpapers AC32FFAA379AED78DCC11EA74FBDFCFE ????? ???? ir.korosh.kabir D199C202BEB4380E2F675E93C36CF0F4 ????? ????? air.com.arsnetworks.poems.sohrab f05d8588cf2e8be9fa6ccac39a0f7311 ????? ????! ir.cheshmac.CyrustheGreat 3c0011dd7f6c9474cda5ffd52415d4a8 ??????? ????? ? ??? gemy.saadaa 05eaa04bc27db3af51215d68a1d32d05 Exotic Flowers com.majorityapps.exoticflowers C&C服务器地址: ****.com/mmh/upload-log.php ****.com/mmh/answer.php ****.com/mmh/get-function.php?uuid=de39361c255e9af2 五、安全主张 信息化年代的到来,使国家之间的战役从兵器战役上升为网络战役。所以个人信息的安全不只关乎到本身的安全,更关乎到国家的安全。主张我们稳重向外供给隐私信息,稳重从其它不安全途径下载运用软件。

发表评论

电子邮件地址不会被公开。 必填项已用*标注