IT技術互動交流平台

你的應用是如何被替換的 App劫持病毒剖析

作者-||河北省宁晋县郝庄村:阿裏移動安全  發布日期-殷世航:2016-04-19 21:18:18

一.App劫持病毒介紹

App劫持是指執行流程被重定向__亿客隆彩票官网,又可分為Activity劫持___6厘米等于多少毫米、安裝劫持|-|258彩票首页、流量劫持_李白 谈爱、函數執行劫持等|新浪亲子。本文將對近期利用Acticity劫持和安裝劫持的病毒進行分析||亿发彩票计划群。

二.Activity劫持病毒分析

2.1 Activity劫持病毒介紹

Activity劫持是指當啟動某個窗口組件時_|荆门运动人网,被惡意應用探知-|_诛仙奋斗,若該窗口界麵是惡意程序預設的攻擊對象_-_如何在淘宝注册开店,惡意應用將啟動自己仿冒的界麵覆蓋原界麵||亿家欢,用戶在毫無察覺的情況下輸入登錄信息_-沟帮子到医巫闾山,惡意程序在把獲取的數據返回給服務端_||收破烂歌词。

以MazarBOT間諜木馬為例_168彩票App,該類木馬有一下幾個特點|-|加雷斯 贝尔:

偽裝成係統短信應用金榜起名网,啟動後請求激活設備管理權限--|opera酒店管理系统,隨後隱藏圖標||仲博彩票手机客户端app; 利用Tor與C&C控製中心進行匿名通信|-杨幂遭人非礼,抵禦流量分析-_易彩堂赚钱是真的吗; C&C控製中心下發指令進行手機控製___冰城宝宝论坛团购区、update html___视觉卡盟、以及信息收集|__股指期货模拟大赛; 通過服務器動態獲取htmlData-|12306晚点信息,然後實施界麵劫持|_银行职员张洁,獲取用戶賬號信息-_|博客大巴;

以下是C&C控製中心指令列表-_徐娇拍过的电影:

我們發現該木馬能接受並處理一套完整的C&C控製指令_潮百搭女装2013,並且使用Tor進行匿名網絡通信|_|2018彩票信誉平台,使得流量數據的來源和目的地不是一條路徑直接相連|_|运盛彩票行大运,增加對攻擊者身份反溯的難度||月殇小说弥言。結下來我們將詳細分析該木馬界麵劫持過程_-|广告词语。

2.2 界麵劫持過程分析__|蓝天使q9:

入口梳理首先看到axml文件||河南4套。WorkerService服務處理C&C控製中心下發的”update html”指令-沈阳酷狗俱乐部,同時後台監控頂層運行的Activity|魔泥,若是待劫持的應用將會啟動InjDialog Acticity進行頁麵劫持|_霍州到太原的火车。

圖axml信息

下圖是後台服務對頂層Acticity監控過程_安哒塔图,若是待劫持應用則啟動InjDialog進行劫持|_李俊案。getTop函數做了代碼兼容性處理|-|春节节目单,5.0以上的設備木馬也可以獲取頂層Acticity的包名|-穆勒故意跪倒。

圖後台監控

InjDialog Activity通過webView加載偽造的html應用界麵,調用webView.setWebChromeClient(new HookChromeClient())設置html頁麵與Java交互_老股民博客,在偽造的Html頁麵裏調用prompt把JS中的用戶輸入信息傳遞到Java_|说说电视记者这行吧,HookChromeClient類重寫onJsPrompt方法-|36选7走势图开奖结果,處理用戶輸入信息_|运盛彩票导航密集,最後將劫持的用戶信息通過Tor匿名上傳到指定域名||东北二嫂水仙视频种子。

圖劫持用戶信息

圖上傳劫持信息

三.應用安裝劫持病毒分析

3.1安裝劫持病毒介紹

安裝劫持病毒通過監聽android.intent.action.PACKAGE_ADDED和android.intent.action.PACKAGE_REPLACED intent實施攻擊|||秦国赵弋,包括兩種手段|-|2019新版跑狗图+今天,一種是卸載刪除掉真正安裝的apk_-_亿客隆彩票是黑平台吗,替換為攻擊者偽造的應用--|132彩票平台官网;另外一種是借用用戶正在安裝的這個消息|铁鹰行动,悄悄的安裝自己推廣的其他應用020彩票排名网站。這個過程就像你平時喝的“六個核桃”__毕打自己人suki,某天你居然喝到“七個核桃”_|祝愿猫。

3.2應用相關信息

該應用是一款名為”FlashLight”的應用_-|注册彩票平台的邀请码是干嘛滴,程序包名||撒谎的故事:com.gouq.light,應用圖標如下-江苏数学高考试卷:

3.3主要組件分析

.App 應用Application類__彩信铃声,加載Assest目錄下加密jar包|-诺基亚串号查询网站,獲取接口ExchangeImpl對象|||宿迁财政局网,在jar裏實現接口函數onApplicationCreate|-_大方旅游 江门、triggerReceiver---轴承大世界、triggerTimerService_注册送彩的彩票APP大全;啟動核心服務LightService-164期十四场胜负彩开奖;

.LightService 應用核心服務_醒木镇,可外部調用啟動LightTiService-众博平台是黑平台吗,達到替換進程名|_内库,以及am啟動服務以自身保活_-优彩网是合法的吗;

.LightTiService 由LightService啟動-|-永胜国际app可靠吗,該服務會調用動態加載包裏的triggerTimerService接口方法_||骚护士影院,完成對以安裝應用的刪除__曾海潮李悦陈霁江陵肃、當前設備信息上傳--钱塘老娘舅2013直播、從服務器下載待安裝應用毒黄瓜事件;

.AppReceiver 廣播接收器||-鹰彩注册,通過加載的jar包裏triggerReceiver接口方法實現|_哈尔滨群力新区房价,處理android.intent.action.PACKAGE_ADDED和android.intent.action.PACKAGE_REPLACED intent查看安裝跟新應用是否是劫持應用|_劫后余生3 9,若是通過execCmd進行安裝劫持__-125摩托车改装。

下圖安裝劫持過程_--韩文臣,通過監聽應用的安裝和更新-|靓眼网,實施關聯的其他應用的靜默安裝|-|娱乐天地客服联系。

圖安裝劫持

上圖可以知道此惡意應用借用安裝或更新intent--立冬立秋诗句,安裝預設的關聯應用|103彩票平台,這樣在安裝完畢後用戶並不清楚哪個是剛真正安裝的應用__卢光霖,這樣增加了推廣應用點擊運行的幾率_|现任国家领导人排名。

四.怎麼有效防治App劫持或安全防護建議

針對企業用戶_--印度新娘第四部:

作為一名移動應用開發者|-梦幻诛仙推广员,要防禦APP被界麵劫持|-_杨幂不雅视频百度云,最簡單的方法是在登錄窗口等關鍵Activity的onPause方法中檢測最前端Activity應用是不是自身或者是係統應用_-长城彩票最重视信誉。

當然|__尊彩网下载,術業有專攻|_|5320软件,專業的事情交給專業的人來做--|证金贵金属投资有限公司。阿裏聚安全旗下產品安全組件SDK具有安全簽名_-今日股市行情查询、安全加密_十大经典电影排行榜、安全存儲-_锈水财阀声望、模擬器檢測||证大家园业主论坛、反調試|306官网彩票安卓版、反注入_-_cf易美、反Activity劫持等功能__青岛爆燃事故责任处理意见。 開發者隻需要簡單集成安全組件SDK就可以有效解決上述登錄窗口被木馬病毒劫持的問題|盈众彩票合法吗,從而幫助用戶和企業減少損失||李驰新浪博客。

針對個人用戶__道光二十五酒价格:

安裝阿裏錢盾保護應用免受App劫持木馬威脅_--静安寺大火。

作者--111端口漏洞:逆巴@阿裏移動安全_||笔秀素材网,更多技術文章|-家教老师h漫之全彩,請點擊阿裏聚安全博客

Tag標簽-|_兰州方言兔八哥: 病毒  
  • 專題推薦

  • 李華明iOS-Cocos2d遊戲開發專題
  • 本教程為 李華明 編著的iOS-Cocos2d遊戲開發係列教程--长风破浪会有时的下一句:教程涵蓋關於i...... 詳細
  • Windows7係統入門 優化 技巧技術專題
  • Windows7係統專題 無論是升級操作係統--|mgcc恶意程序释放文件、資料備份|_|至尊彩app至尊彩下载、加強資料的安全及管...... 詳細
About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯係方式
本站內容來自於互聯網,僅供用於網絡技術學習,學習中請遵循相關法律法規
大地彩票苹果彩票秒速快3万喜彩票盛世彩票盛世彩票

免责声明: 本站资料及图片来源互联网文章,本网不承担任何由内容信息所引起的争议和法律责任。所有作品版权归原创作者所有,与本站立场无关,如用户分享不慎侵犯了您的权益,请联系我们告知,我们将做删除处理!