DroidJack 使用側負荷...它是超級有效 !寵物小精靈時去 Android 應用程式發現

概述

寵物小精靈去是第一次的口袋妖怪遊戲由任天堂為 iOS 和 Android 設備受到制裁。 增強的現實遊戲是首次在澳大利亞和紐西蘭 7 月 4 日發佈,使用者在其他地區迅速吵著要求為他們的設備版本。 它在 7 月 6 日被發佈在美國,但世界其他地區仍將想找到一份合法管道之外。 為此,大量的出版物提供了教程"側載入"上 Android 的應用程式。 然而,與安裝在官方應用程式商店的外面的任何應用程式,使用者可能會超過他們的期望

在這種情況下,Proofpoint 的研究人員發現受感染的 Android 版本的新公佈手機遊戲寵物小精靈去 [1]。 此特定的 APK 了修改,包括惡意的遠端存取工具 (鼠) 稱為 DroidJack (也被稱為 SandroRAT),無形中會使攻擊者完全控制受害人的電話。 在過去,介紹了 DroidJack 大鼠包括賽門鐵克 [2] 和 [3] 卡巴斯基。 雖然我們沒有觀察到這個惡意 APK 在野外,它被上載到一個惡意檔存儲庫服務在 9:19:27 UTC 2016 年 7 月 7 日,不到 72 小時後,遊戲正式發佈在紐西蘭和澳大利亞。

可能,遊戲一直未正式公佈全球同時,很多玩家希望獲得這場比賽之前它被發佈在其區域內, 訴諸從協力廠商下載 apk 檔。 此外,許多大媒體提供了關於如何從協力廠商 [4,5,6] 下載遊戲。 有些甚至更進一步,描述了如何安裝 apk 檔下載來自協力廠商 [7]:

"安裝 APK 直接你首先必須告訴你的 Android 手機接受側載入應用程式。 這通常可以通過訪問設置,按一下進入安全區,然後啟用"未知的源"核取方塊"。

不幸的是,這是一種非常危險的做法,容易導致使用者在他們自己的行動裝置上安裝惡意應用程式。 應個別下載 APK 從協力廠商,已染上了後門,我們發現,一如他們的設備將然後受到損害。

個人擔心他們下載惡意 APK 有幾個選項,以説明他們確定他們現在是否感染。 首先,他們可能會檢查下載 APK SHA256 散列。 合法的應用程式,已經通過媒體經常連結到已雜湊的 8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67,儘管它有可能是已經發佈的更新的版本。 我們分析了惡意 APK 有 15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4 SHA256 散列。

另一種簡單方法檢查感染,是否設備將檢查已安裝應用程式的許可權,通常可以通過設置-應用程式-寵物小精靈去 > 的第一次去,然後滾動到許可權部分。 圖 1 顯示合法的應用程式授予的許可權的清單。 這些許可權是如有更改,具體取決於設備的配置;例如許可權"谷歌播放計費服務"和"接收來自互聯網的資料"不會顯示在圖像但被授予對另一個設備時從谷歌播放存儲下載寵物小精靈去。 在圖 2 和圖 3,概述的許可權已由 DroidJack 添加。 看到那些寵物小精靈去應用程式授予的許可權可能表明,該裝置感染,雖然這些許可權如有更改,將來也是。

寵物小精靈 fig1.png

圖 1︰ 從合法寵物小精靈去 APK 授予許可權

 

 

寵物小精靈 fig2.png

圖 2︰ 授予許可權從口袋妖怪去 APK 時 (第一個截圖)

 

寵物小精靈 fig3.png

圖 3︰ 授予許可權從口袋妖怪去 APK 時 (第二張截圖)

 

受感染的寵物小精靈去 apk 檔已被修改方式,推出時,受害人可能不會注意到他們已安裝惡意應用程式。 圖 4 顯示啟動畫面從受感染的寵物小精靈去遊戲,這是合法的相同。

寵物小精靈 fig4.png

圖 4︰ 感染寵物小精靈去啟動畫面;它將顯示相同的表示,合法的應用程式

 

檢查感染的遊戲進一步後, 由攻擊者添加時相比,三類脫穎而出,合法遊戲。 圖 5 顯示從合法遊戲類,而圖 6 顯示了從受感染的遊戲,包括下面添加的類的類︰

  • 一個
  • b
  • net.droidjack.server

此外,這 DroidJack 大鼠已被配置為向命令和控制 (C 與 C) 域口袋妖怪 [.]沒有 ip [.]組織結構圖在 TCP 和 UDP 埠 1337 (圖 7)。 沒有 ip.org 是用於功能變數名稱將與關聯一個動態的 IP 位址這樣一般服務分配給家庭或小型企業使用者 (而不是專用的 IP 位址),但也經常用威脅行為者,以及其他類似的服務,如 DynDNS。 在分析時,C 與 C 域解析為 IP 位址在土耳其 (88.233.178 [.]130) 而不接受從被感染的設備連接。

寵物小精靈 fig5.png

圖 5︰ 合法寵物小精靈去類

 

寵物小精靈 fig6.png

圖 6︰ 感染具有突出顯示的惡意類寵物小精靈去類

 

寵物小精靈 fig7.png

圖 7︰ 硬編碼 C 與 C 域和埠

 

結論

安裝應用程式從協力廠商來源,除了正式審核和批准了公司的應用程式商店,這絕對不可取。 官方和企業應用程式商店有的程式和審批安全的移動應用程式,同時側載入應用程式從其他的經常有問題的來源、 暴露使用者和他們的行動裝置對各種惡意軟體的演算法。 在受損的寵物小精靈去 APK 我們分析的情況下,攻擊者能夠完全妥協行動裝置存在的可能性。 如果該設備帶來了到商業網路,網路的資源也有風險。

即使沒有在野外發現這個 APK,它代表一種重要的證明的概念︰ 即,那網路犯罪分子可以利用像寵物小精靈去應用的普及來欺騙使用者到在他們的設備上安裝惡意軟體。 底線,只是因為你可以得到最新的軟體在您的設備上並不意味著你應該。 相反,從合法的應用程式商店下載可用的應用程式是避免損害您的設備和網路訪問的最佳方法。

 

引用

1.HTTP://pokemongo.nianticlabs.com/en/

2.HTTP://www.symantec.com/connect/blogs/droidjack-rat-tale-how-budding-entrepreneurism-can-turn-cybercrime

3.HTTP://www.welivesecurity.com/2015/10/30/using-droidjack-spy-android-expect-visit-police/

4.HTTPs://www.theguardian.com/technology/2016/jul/07/how-to-get-pokemon-go-uk

5.HTTP://www.wired.co.uk/article/pokemon-go-out-now-download-ios-android

6.HTTP://www.androidpolice.com/2016/07/07/pokemon-go-now-live-several-countries-including-australia-new-zealand-possibly/

7.HTTP://arstechnica.com/gaming/2016/07/pokemon-go-ios-android-download/

 

 

指標的妥協 (國際奧會)

國際奧會

國際奧會類型

描述

15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4

SHA256

寵物小精靈時去 APK

d350cc8222792097317608ea95b283a8

MD5

寵物小精靈時去 APK

pokemon.no-ip.org

DroidJack C 與 C

88.233.178.130

IP

DroidJack C 與 C

 

選擇這種交通將火災的 ET 簽名︰

2821000 | |ETPRO MOBILE_MALWARE 寵物小精靈去 AndroidOS.DroidJack DNS 查找

2821003 | |ETPRO MOBILE_MALWARE AndroidOS.DroidJack UDP 數控燈塔