亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Clicker木馬新家族中的Haken木馬是怎樣的

發布時間:2021-12-24 14:58:06 來源:億速云 閱讀:110 作者:柒染 欄目:數據安全

這篇文章將為大家詳細講解有關Clicker木馬新家族中的Haken木馬是怎樣的,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

一、概述

Clicker木馬是廣泛的惡意程序,旨在提高網站訪問率在線賺錢。它們通過單擊鏈接和其他交互式元素來模擬網頁上的用戶操作,實現無聲地模擬與廣告網站的交互,自動訂閱付費服務。該木馬是一個惡意模塊,它內置于普通應用程序中,例如字典,在線地圖,音頻播放器,條形碼掃描儀和其他軟件。

最近暗影實驗室在Google Play上發現了一個新的Clicker惡意軟件家族Haken木馬。該應用是一款提供位置方向服務的應用。與利用不可見Web視圖的創建和加載來執行惡意點擊功能的Clicker木馬和Joker木馬不同,Haken木馬通過將本機代碼注入Facebook和Google廣告SDK的庫中來實現模擬用戶點擊廣告功能。通過點擊廣告來提高網站訪問量賺取錢財。

Clicker木馬新家族中的Haken木馬是怎樣的

圖1-1Google Play上應用信息

用戶抱怨該應用會彈廣告,建議謹慎下載。

Clicker木馬新家族中的Haken木馬是怎樣的

圖1-2 用戶對該應用的評論

二、技術分析

該程序的第一個入口是BaseReceiver廣播接收器。其中注冊了許多action,使該廣播很容易被觸發。

Clicker木馬新家族中的Haken木馬是怎樣的

圖2-1 注冊BaseReceiver廣播

在該接收器內加載了lib庫文件。通過在native層的startTicks函數調用本地com / google / android / gms / internal / JHandler”類中的“clm”方式。

Clicker木馬新家族中的Haken木馬是怎樣的

Clicker木馬新家族中的Haken木馬是怎樣的

圖2-2 加載庫文件反射調用本地方法

此方法中注冊了兩個工作線程和一個計時器。其中wdt線程與C&C服務器通信獲取最新配置信息。而w線程由定時器觸發用于檢查配置信息并將代碼注入到廣告SDK(如Google的AdMob和Facebook)的與廣告相關的Activity類中。

Clicker木馬新家族中的Haken木馬是怎樣的

圖2-3 注冊兩個工作線程

工作線程一:

在wdt線程中與服務器交互獲取最新配置信息。服務器地址被編碼:http://13.***.34.16

Clicker木馬新家族中的Haken木馬是怎樣的

圖2-4 服務器交互

服務器下發的配置信息,其中包括用于更新服務器交互的地址。

Clicker木馬新家族中的Haken木馬是怎樣的

Clicker木馬新家族中的Haken木馬是怎樣的

圖2-5 從服務器獲取配置信息

工作線程二:

w線程在設備已聯網且應用已定時啟動60000ms的情況下,啟動活動。通過生成在1-4間的隨機數匹配到啟動哪個活動,這四個活動用于將代碼注入到Facebook和Google廣告類中,實現加載廣告并模擬點擊廣告。

Clicker木馬新家族中的Haken木馬是怎樣的

圖2-6 注入Facebook和Google

Clicker木馬新家族中的Haken木馬是怎樣的

圖2-7 加載廣告

模擬用戶點擊,點擊從廣告SDK中接收到的廣告,這些功能都是通過反射機制實現的。

Clicker木馬新家族中的Haken木馬是怎樣的

圖2-8點擊從廣告SDK中接收到的廣告

服務器后臺:

我們通過于應用與服務器交互的地址進入到該應用的服務器后臺,發現該應用的開發者使用XAMPP平臺搭建了個人網站和服務器。

Clicker木馬新家族中的Haken木馬是怎樣的

圖2-9 Haken木馬個人網站

服務器后臺包含2個js文件。Js文件用于代碼的注入實現模擬點擊功能。

Clicker木馬新家族中的Haken木馬是怎樣的

圖2-10 Haken木馬服務器后臺

三、樣本信息

應用名包名Sha256
Compasscom.haken.compass30bf493c79824a255f9b56db74a04e711a59257802f215187faffae9c6c2f8dc
Qrcodecom.haken.qrcode62d192ff53a851855ac349ee9e6b71c1dee8fb6ed00502ff3bf00b3d367f9f38
Coloring Bookcom.faber.kids.coloring381620b5fc7c3a2d73e0135c6b4ebd91e117882f804a4794f3a583b3b0c19bc5
Fruits Coloring Bookcom.vimotech.fruits.coloring.bookf4da643b2b9a310fdc1cc7a3cbaee83e106a0d654119fddc608a4***7c5552a3
Soccer Coloring Bookcom.vimotech.soccer.coloring.booka4295a2120fc6b75b6a86a55e8c6b380f0dfede3b9824fe5323e139d3bee6f5c
Fruit Helix Jumpmobi.game.fruit.jump.towere811f04491b9a7859602f8fad9165d1df7127696cc03418ffb5c8ca0914c64da
Number Shootermobi.game.ball.number.shooterd3f13dd1d35c604f26fecf7cb8b871a28aa8dab343c2488d748a35b0fa28349a

四、情報擴展

“Joker”惡意軟件家族最早于2019年9月在Google Play上被發現,暗影實驗室在2019年9月28號通過反間諜之旅—模擬訂閱高級服務一文向用戶發出風險預示。

該惡意軟件被用來向用戶訂閱高級服務,無聲地模擬與廣告網站的自動交互包括模擬點擊和輸入高級服務訂閱的授權代碼。在過去幾個月中Joker不斷出現在Google Play商店中。

我們最近在Google Play上發現了另外四個Joker樣本,已下載130,000+次。以下為樣本信息。

應用名Sha256
com.app.reyflow.phote08f53bbb959132d4769c4cb7ea6023bae557dd841786643ae3d297e280c2ae08
com.race.mely.wpaper44102fc646501f1785dcadd591092a81365b86de5c83949c75c380ab8111e4e8
com.landscape.camera.plus9c713db272ee6cc507863ed73d8017d07bea5f1414d231cf0c9788e6ca4ff769
com.vailsmsplus1194433043679ef2f324592220dcd6a146b28689c15582f2d3f5f38ce950d2a8

關于Clicker木馬新家族中的Haken木馬是怎樣的就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

广西| 阿克苏市| 龙井市| 米泉市| 墨脱县| 佛冈县| 积石山| 方城县| 双江| 瓮安县| 垣曲县| 蒲江县| 鄂温| 新巴尔虎左旗| 阿勒泰市| 临邑县| 镇雄县| 牙克石市| 县级市| 石景山区| 广水市| 康定县| 临桂县| 富蕴县| 紫阳县| 凉山| 易门县| 来宾市| 玉山县| 乳山市| 霍州市| 吴旗县| 民县| 白朗县| 舞钢市| 伊春市| 得荣县| 霍林郭勒市| 侯马市| 沐川县| 迭部县|