翻译:myswsun
预估稿费:100RMB
投稿方式:发送邮件至linwei#360.cn,或登陆 页版在线投稿
传送门:全球最大的勒索软件FlexiSpy的分析(part2)
0x00 前言
0x01 IOCs
下面URL和String节内容提供给AV公司。这可以用于识别目的。当我有时间我将输出一些yara规则。
0x02 URLs
http://58.137.119.229/RainbowCore/(在
com.vvt.phoenix.port.test.CSMTest中找到)
http://trkps.com/m.php?lat=%f&long=%f&t=%s&i=%s&z=5(在
source//location_capture/tests/location_capture_tests/src/com/vvt/locationcapture/tests/Location_capture_testsActivity.java)
另一个IP地址在代码注释中找到//private String mUrl =
http://202.176.88.55:8880/
0x03 Strings
下面的字符串在泄漏的源代码中找到,文件名:
/source/phoenix/test/phoenix_demo/src/demo/vvt/phoenix/PhoenixDemoActivity.java:
0x04 概述
恶意软件支持各种命令,包含但不限于:音频记录,视频记录,通话记录(来电和去电),擦除设备数据,SMS拦截,SMS消息关键字监控,监控摄像头照相,通讯录,日历信息,位置跟踪,gmail应用消息和一组设计来监控特殊的及时通信应用的插件。
所有的能力是可能的,因为移动应用程序请求了大量的权限。但是我的理解是除非root了,否则监控其他应用:whatsapp,snapchat等不能实现。
0x05 应用监控
APK有一个模块系统,允许提取大量应用的敏感信息。正常情况下,这些应用的应用数据是受保护的,但是如果手机root了,间谍软件能够抓取任何应用的敏感信息。
0x06 Whatsapp
能够抓取设备上所有的私有Whatsapp的文件。是否包含私有消息和附件需要测试。
0x07 Snapchat
参考代码,能抓取到snapchat文件。手机需要root
0x08 接下来
我将完成逆向APK并提供深入技术分析。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!