欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

剖析Geost:针对俄罗斯银行的安卓木马

来源:本站整理 作者:佚名 时间:2020-03-18 TAG: 我要投稿
命令列表
C&C服务器命令列表:

ApiRequest、ApiResponse和ApiInterfaceImpl
ApiRequest、ApiResponse和ApiInterfaceImpl类负责启用与C&C服务器的通信。在连接参数初始化中,默认情况下replaceWithRandomStr变量的值设置为true,并且在代码内未进行更改。
构建C&C服务器连接字符串:

连接参数初始化:

在这里,使用了一种算法来为C&C服务器URL生成随机字符串。随后,初始化API连接,并设置为C&C服务器的主机名。
为C&C服务器URL构建随机字符串:

API连接初始化:

设置C&C服务器主机名:

下面展示了在执行C&C服务器命令“#contacts”时的API用法。最后,命令的参数以JSON格式附加,并转换为字符串。
C&C服务器API调用示例:

最佳实践与解决方案
Trend Micro在2020年安全预测中,预测了针对在线银行和支付系统的移动恶意软件家族(例如Geost)的持续增长。移动用户在目前日益危险的整体环境中,应该遵循最佳实践以保护自己的移动设备安全。其中最关键的一大注意事项,就是应避免从官方应用商店以外的地方下载应用程序。
但遗憾的是,威胁参与者也逐渐找到了通过合法应用商店传播恶意应用程序的方法。这些应用商店应加强稽查力度,下架受感染的应用程序,作为用户也应该在下载前仔细检查应用程序的评论和其他信息,以避免下载恶意应用。
应用程序的用户在点击允许之前,应该仔细检查已安装应用程序所请求的权限。在安装后,用户应当留意设备发生的变化,例如性能降低或电池寿命降低,这些都可能是感染恶意软件的特征。一旦发生上述情况,用户应该立即删除新安装的应用程序。此外,用户还应该定期进行检查,以删除无实际需要的应用程序。
为了进一步防范移动威胁,用户可以安装多层移动安全解决方案,以保护设备免受恶意应用程序和其他移动威胁的侵害。
威胁指标
SHA-256:92394e82d9cf5de5cb9c7ac072e774496bd1c7e2944683837d30b188804c1810
检测名称:AndroidOS_Fobus.AXM
 

上一页  [1] [2] [3] [4] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载