澳门新葡亰信誉平台游戏“Xavier”安卓木马分析:可静默收集数据并远程代码执行

by admin on 2020年4月28日

安全研究人员发现,来自中国的Maxthon浏览器会收集用户敏感信息然后发回到北京的服务器。安全公司Fidelis
Cybersecurity和 Exatel
的研究人员发表报告(PDF),流量监测发现Maxthon浏览器会通过HTTP定期向北京的服务器发送名叫
ueipdata.zip 的文件,ueipdata.zip文件包含了名叫
dat.txt的加密文件,使用的加密算法是AES,加密密钥eu3o4[r04cml4eir静态编译在浏览器代码中,没有使用任何的混淆,因此中间人攻击者很容易拦截和解密文件。它储存了操作系统、屏幕分辨率、CPU类型和频率、广告屏蔽状态、已屏蔽的广告数、浏览历史,在线搜索历史,电脑上安装的应用程序及其版本号等信息。ueipdata.zip是作为Maxthon用户体验改善计划的一部分发送到它位于北京的服务器的,开发商声称数据的收集是匿名的和自愿性质的,然后不管用户同意不同意,浏览器都会收集和发送数据。中国公司的浏览器基本上都存在严重的隐私和安全问题,如QQ浏览器、UC浏览器和百度浏览器。

趋势科技研究发现了一款Android恶意木马——Xavier。在谷歌Play应用市场中,超过800款Android应用感染了该恶意木马,影响数百万Android用户。感染的应用范围覆盖图片编辑器,墙纸和铃声转换器等。受感染的用户绝大多数来自亚洲东南部国家,如越南、菲律宾和印度尼西亚,美国和欧洲的感染人数较少。

无痕网 21招,上网不留痕迹 2019-01-11 11:34 分类:资讯 阅读()

(文/Solidot)    

 

想在网上雁过不留痕几乎是不可能的,但总有些方法,工具或习惯可以帮助我们降低网络风险,保护个人隐私。(wWw.niUbb.neT)

澳门新葡亰信誉平台游戏 1

澳门新葡亰信誉平台游戏 2

 

1.无痕浏览

对比此前恶意广告木马,Xavier的功能及特征更为复杂。首先他具备远程下载恶意代码并执行的能力。其次,它通过使用诸如字符串加密,Internet数据加密和模拟器检测等方法来保护自己不被检测到。

无痕浏览(隐私浏览模式、隐身窗口),是指不留下上网浏览记录的互联网浏览方式。在无痕浏览过程中,浏览器不会保存任何浏览历史、搜索历史、下载历史、表单历史、cookie或者Internet临时文件。

 

支持该模式的浏览器包括但不限于GoogleChrome,InternetExplorer8及更新版本、Avantbrowser,Safari以及国产浏览器一众.

Xavier窃取用户数据的行为很难被发现,它有一套自我保护机制,来躲避静态和动态的检测分析。此外,Xavier还具有下载和执行其他恶意代码的能力,使它的威胁性大大增加。

2.加密电邮

 

无论你是使用电子邮件客户端,还是使用基于网页的电子邮件解决方案,都能对邮件进行加密。Enigmail是一个MozillaThunderbird和SeaMonkey网络包的数据加密和解密扩展,提供了OpenPGP的电子邮件公钥加密和签名功能,可以在Windows、类Unix和MacOSX操作系统下运行。Mailvelope是适用于Chrome和火狐浏览器的一款扩展程序,可实现与YahooMail、Gmail、Outlook、GMX邮件服务的无缝衔接。类似的电邮加密工具还有:Infoencrypt,MymainCrypt,Gpg4Win等等,总有一款适合你。

Xavie进化史

澳门新葡亰信誉平台游戏 3

 

joymobile

Xavier是恶意广告下载家族的成员之一,它的存在已有2年时间。第一个版本被称为joymobile,出现在2015年年初。joymobile这个版本已经具备执行远程代码的能力。

 

澳门新葡亰信誉平台游戏 4

除了收集和泄露用户信息,它还可以安装其他应用,并在设备root的情况下实现静默安装。

澳门新葡亰信誉平台游戏 5

 

它通过远程命令和C&C服务器来发送和接受信息,并对这些信息没有加密,但是对所有的常量字符串都进行了加密。

 

澳门新葡亰信誉平台游戏 6

 

nativemob

第二个版本命名为nativemob,对比joymobile我们可以发现nativemob的代码重构了,并增加了一些新特新。主要是广告行为和实用程序。虽然没有静默安装,但是需要用户确认安装的程序仍然存在。

澳门新葡亰信誉平台游戏 7

澳门新葡亰信誉平台游戏 8

 

它比第一个版本收集更多的用户信息,并通过base64编码发送这些信息到C&C服务器。

 

澳门新葡亰信誉平台游戏 9

 

nativemob的下一个变种出现在2016年1月左右,它缩减了字符串加密算法,加密了从远程服务器下载的代码,并添加了一些反射调用。

 

澳门新葡亰信誉平台游戏 10

 

紧接着在2月份,它更新了各方面的广告模块设置,并出于某种原因删除了数据加密。

 

澳门新葡亰信誉平台游戏 11

 

在接下来的几个月里进行了进一步更新。但是这些更新对于广告库没有进行重大更改。

 

3.杜绝社交网站

Xavier技术分析

Xavier的变体出现在2016年9月,它的代码更加精简。第一个版本重去除了APK安装和root校验,但是加入了TEA加密算法。

 

澳门新葡亰信誉平台游戏 12

 

很快它添加了避免动态检测的机制,其结构如下:

澳门新葡亰信誉平台游戏 13

 

一旦加载Xavier,它将从C&C服务器hxxps://api-restlet[.]com/services/v5/得到初始化配置,并使其加密。

澳门新葡亰信誉平台游戏 14

 

服务器还对响应数据进行加密:

 

澳门新葡亰信誉平台游戏 15

 

解密后,我们可以看到它实际上是一个json文件:

澳门新葡亰信誉平台游戏 16

V代表SDK版本

L代表SDK URL地址

G代表SDK Sid

S代表 SDK设置

Au与ad配置相关

 

Xavier将从hxxp://cloud[.]api-restlet[.]com/modules/lib[.]zip下载SDK并读取配置。但是,lib.zip不是一个完整的压缩包。

在得到lib.zip压缩包之后,Xavier在压缩包里加入0x50
0x4B头,并把它命名为xavier.zip的有效文件。

 

加入之前

澳门新葡亰信誉平台游戏 17

 

加入之后

澳门新葡亰信誉平台游戏 18

 

Xavier.zip包含加载和调用它的classes.dex文件。

 

澳门新葡亰信誉平台游戏 19

 

这个dex文件将收集用户的的设备信息,并加密传输到远程服务器hxxps://api-restlet[.]com/services/v5/rD

如邮箱地址,设备ID,模型,操作系统版本,国家,手机制造商,SIM卡运营商,安装的应用程序等信息。

 

澳门新葡亰信誉平台游戏 20

 

为了躲避动态检测,Xavier运行在模拟器环境下还会隐藏恶意行为。

它会检测设备是否包含产品名称、制造商、设备商标、设备模块、硬件名称、指纹等以下字符串。

 

  • vbox86p
  • Genymotion
  • generic/google_sdk/generic
  • generic_x86/sdk_x86/generic_x86
  • com.google.market
  • Droid4X
  • generic_x86
  • ttVM_Hdragon
  • generic/sdk/generic
  • google_sdk
  • generic
  • vbox86
  • ttVM_x86
  • MIT
  • Andy
  • window
  • unknown
  • goldfish
  • sdk_x86
  • generic_x86_64
  • phone
  • TTVM
  • sdk_google
  • Android SDK built for x86
  • sdk
  • Android SDK built for x86_64
  • direct
  • com.google
  • XavierMobile
  • TiantianVM
  • android_id
  • generic/vbox86p/vbox86p
  • com.google.vending
  • nox

 

 

Xavier还通过检查它是否包含以下字符串,来隐藏扫描用户邮箱的行为:

 

  • pltest
  • @facebook.com
  • tester
  • @google.com
  • review
  • playlead
  • agotschin
  • gptest
  • rxwave 15
  • rxplay
  • admob
  • gplay
  • adsense
  • gtwave
  • rxtest
  • wear.review
  • qaplay
  • test
  • rxtester
  • playtestwave

 

澳门新葡亰信誉平台游戏 21

 

诸如Facebook,GooglePlus,Twitter这样的社交网站从数十亿用户中收集的个人数据量是令人震惊的。在facebook.com/settings上点击“下载您的Facebook数据副本“,你会惊讶地看到海量信息被记录,巨细无遗。类似的数据收集水平出现在所有主要的社交媒体网站,这是你使用“免费”服务的代价。让这些数据彻底消失的唯一方法是删除你的帐户。提醒一句,“停用”不等同于删除。停用帐户只是进入休眠状态,也就是说所有的信息仍被存储着并可以重新激活。

Xavier如何避免检测?

1、对所有常量字符串进行加密,使得静态检测和动态分析更加困难

 

澳门新葡亰信誉平台游戏 22

 

2、它通过HTTPS进行网络传输,以防止流量被捕获,还对数据进行加密:

 

澳门新葡亰信誉平台游戏 23

 

3、它使用了大量反射调用方法,其中类名和方法名都进行了加密

 

澳门新葡亰信誉平台游戏 24

 

4、它会根据运行环境隐藏其行为。下面是谷歌播放器的示例,嵌入了一个Xavier恶意广告库:

 

澳门新葡亰信誉平台游戏 25

 

 

4.阻止与管理跟踪器

保护措施

1、提防可疑和陌生的应用软件,即便是从官方应用市场下载的。尽量下载知名的应用软件。

2、在下载应用程序之前,查看应用程序需要授权的权限,并了解其他用户的评论。

3、建议在手机上安装安全软件,可以有效检测并阻止恶意软件,及时升级系统和app的版本。

 

*
本文翻译自trendmicro,更多安全类热点资讯及知识分享,请持续关注阿里聚安全博客

 

大量的网站跟踪并收集用户的浏览习惯,浏览网页时产生的历史记录和cookie文件会被广告商通过网页代码获取并由此投放相应的广告。由于跟踪器不可见,大多数人都没有意识到正在被跟踪。Ghostery是一款非常有名的浏览器插件,它可以帮助用户拦截网页上面的广告,不让广告企业跟踪到用户的数据、投放广告。

 

5.Hushmail

Hushmail是简单易用的网络电子邮箱,安全性极强,没有第三方广告,不会扫描用户的邮件出售给其他的广告公司。Hushmail保护你的敏感邮件不受任何间谍软件的入侵,所有的电子邮件都将采用OpenPGP标准进行加密。

6.一次性电子邮件

一次性电子邮件地址(DisposableEmailAddresses,DEAs)具有匿名与临时性,让用户可以快速创建新的电子邮件地址,用后即抛。特别适合在网上申请账户需要填写邮箱验证时使用,从而保持你的真实电子邮件地址远离垃圾邮件发送者。提供DEAs服务的有GuerrillaMail,Mailinator等等。

7.虚拟专用网

虚拟专用网(VirtualPrivateNetworks,VPNs),这个你懂的。

8.TOR

Tor(TheOnionRouter,洋葱路由)最初由美国海军研究实验室赞助,专门防范流量过滤和嗅探分析,让用户可以在网上进行匿名交流。Tor浏览器是Tor项目的旗舰产品,可以自动通过Tor网络启动Tor后台进程连接网络。一旦关闭程序便会自动删除隐私敏感数据,如HTTPcookie和浏览历史记录。

9.代理服务器

代理也称网络代理,是一种特殊的网络服务,允许一个网络终端通过这个服务与另一个网络终端进行非直接的连接。一些网关、路由器等网络设备具备网络代理功能。代理服务器(ProxyServer)的功能就是代理网络用户去取得网络信息。形象的说,它是网络信息的中转站,能显著提高浏览速度和效率,还可以隐藏真实IP,免受攻击。

10.HTTPSEverywhere

我们一般看到的网站网址开头大多都是「HTTP」,而当出现「HTTPS」的网址开头时,代表你正在和这个网站之间进行着「加密连线」,这时候你与网站间的通讯资料将难以被第三方所破解或截取。

安装HTTPSEverywhere浏览器插件后,插件就会自动选择网站的HTTPS地址打开,在加密技术的加持下,用户在进行阅读电邮、网络消费等操作时,就不用担心来自第三方或监管机构的骚扰了。

11.清理Cookies

Cookies就是服务器暂存放在你的电脑里的资料(.txt格式的文本文件),好让服务器用来辨认你的计算机。但是,利用cookies可能存在侵犯用户隐私的问题,记得定期清理哟。

12.使用其他搜索引擎

搜索引擎得出的搜索结果不仅仅依赖于你输入关键字,可能还利用你过去的搜索历史,如果你想毫无包袱地搜索,可以考虑使用不同的搜索引擎,比如DuckDuckGo,这款搜索引擎承诺永远不会跟踪你的搜索历史,并强调保护搜索用户的隐私。

13.使用其他浏览器

主流的浏览器,比如谷歌Chrome,Firefox,InternetExplorer并不如想象中那么安全。如果您想要更受保护的浏览体验,可以考虑尝试专注于隐私保护的浏览器:Dooble,ComodoDragon或是SRWareIron。

14.选用安全的云存储

SpiderOak是一款云端存储服务。功能包括:备份、同步、分享。跟Dropbox、GoogleDrive、OneDrive等其他云端储存服务不同的是,SpiderOak会在档案上传到云端前进行加密,因此SpiderOak声称其内部人员均无法访问妳的云端档案,确保妳的资料不会被偷窥或利用。

15.变更您的手机

在使用智能手机的同时又想保持匿名性,恐怕没那么简单。许多APP都会在你不知情的情况下进入手机的默认设置。此外,连接到公共网络也会使你的个人信息遭到窥探。试试看Blackphone吧,很黑很安全。

16.使用密码管理器

你不会傻到所有的账户密码都设定为生日或123456吧,那你真的很危险。可是密码设定得纷繁复杂又很容易忘记,对不?LastPass是你的福音,你只需要记住一个主密码,其他的各种密码就交给它来处理吧。

17.专注安全的操作系统

澳门新葡亰信誉平台游戏 26

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图