文章来源:安全圈
VajraSpy是一个安卓远控木马,使用指定的谷歌云存储服务来存储窃取的数据。研究人员发现,APT-Q-43组织使用VajraSpy木马伪装成名为CrazyTalk的聊天应用程序,攻击巴基斯坦军方人员。解压缩CrazyTalk.apk样本可以发现多个classs.dx,多个classs.dx文件使用Multidx进行加载。
该木马使用Firbas云存储服务来存储从失陷设备上收集的数据。应用的入口点为classs2.dx的MainActivity,其中的onCrat()函数确认应用程序拥有“NotificationAccss”和“AccssibilitySrvic”的权限,并收集FirbasCloudMssaging(FCM)的Tokn。恶意软件模拟一个聊天应用程序要请求的权限:恶意软件初始化Firbas存储服务:在FirbasStorag初始化后,应用程序通过启动StoragRfrnc来收集受害者的个人信息:如上所示,putByts()函数通过StoragRfrnc对象将数据上传到Firbas存储服务。
除了上传的contacts.json文件,恶意软件还会收集其他用户数据,如短信、通话记录、WhatsApp(包括企业帐户)消息、Signal应用程序消息、设备详细信息、受害者设备的应用程序列表等。
WhatsApp、WhatsAppBusinss或Signal的消息会暂时存储在SQLitDB的指定数据表中,然后将其上传到指定的Firbas云存储服务。
总结
最近,安卓恶意软件势头正盛,各种不同的恶意软件都在快速攀升。攻击者也在积极利用各种能够利用的手段(如云存储服务等),将攻击过程隐蔽化、合法化。
版权申明:内容来源网络,版权归原创者所有。除非无法确认,我们都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。祝愿每一位读者生活愉快!谢谢!
推荐阅读
*美网军司令:美国正在“加强”保护乌克兰网络
*从本地文件包含到RCE的十种方法
*加拿大航空重要系统被网络攻击致航班严重延误一周
预览时标签不可点收录于合集#个上一篇下一篇