Tordow偷钱木马懂得下载“插件”扩展功能 拿到Root权限窃取用户资金 Pokemon Go等盗版APP是温床

简介:

卡巴斯基实验室发现了Trojan-Banker.AndroidOS.Tordow.a,这个木马不同一般,它除了使用自己的功能控制手机外,还能联系C&C服务器下载更多流行的恶意软件,以求获取Root权限,最终窃取用户银行资金。Tordow的功能已远远超越了大多数其他银行恶意软件,可帮助网络犯罪分子实施新型攻击。

过去,我们曾见过利用超级用户权限来发布广告的应用,比如Leech、Guerrilla和Ztorg。但是,在针对银行的恶意软件攻击中,root权限的使用并不常见。这是因为攻击者可以通过很多不需要独占权限的方式来窃取资金。

Trojan-Banker.AndroidOS.Tordow.a打包进入Google商店的APP

Tordow感染始于安装流行APP,如VKontakte、DrugVokrug、Pokemon Go、Telegram、Odnoklassniki或地铁跑酷(Subway Surf)。在这种特定情况下,我们讨论的不是原始应用,而是那些在官方Google Play商店之外传播的应用。恶意软件编写人员下载正常应用、对其反向汇编,并添加新的代码和文件。

在正常应用中添加的代码

只要具备一丁点安卓开发知识,任何人都可以做到这一点。这样就构造了一个与原始应用类似的新应用。除了原始应用的所有正常功能,新应用还可提供攻击者需要的恶意功能。

Trojan-Banker.AndroidOS.Tordow.a的 工作原理

在这种情况下,正常应用嵌入的代码对攻击者在资源文件中的加入恶意文件进行解密,并运行该文件。

运行的文件连接攻击者的服务器,下载Tordow的主体,里面有更多文件的下载链接。这些文件包括用来获取root权限的攻击包、新版本的恶意软件,等等。恶意链接的数量取决于网络犯罪分子的动机。每个下载的文件均可从服务器下载、解密并运行新组件。这将导致被感染的设备加载数个恶意模块;这些恶意模块的数量和功能也取决于Tordow所有者的意图。不论采用何种方法,攻击者均可从C&C下发指令远程控制设备。

这样,通过移动银行应用和勒索软件采用的传统方法,网络犯罪分子会获取从用户那里盗取资金的一整套功能。此恶意应用的功能包括:

  1. ·         发送、窃取和删除短信。
  2. ·         对呼叫进行录音、重定向和阻断。
  3. ·         查询余额。
  4. ·         通信录。
  5. ·         拨打电话。
  6. ·         更改C&C。
  7. ·         下载和运行文件。
  8. ·         安装和删除应用。
  9. ·         阻断设备并显示恶意服务器指定的网页。
  10. ·         生成和发送设备上的文件列表;发送和重命名文件。
  11. ·         重启手机。

Trojan-Banker.AndroidOS.Tordow.a还会下载流行的攻击包以获取 超级用户权限

除了下载自身所含的模块,银行木马Tordow(在指定的模块加载链内)还下载流行的攻击包,以获取root权限。这为该恶意软件提供了新攻击向量和独特功能。

首先,该木马在系统文件夹中安装其下载的一个模块,使得该模块难以删除。

其次,攻击者使用超用户权限窃取默认安卓浏览器和谷歌Chrome浏览器(如已安装)的数据库。

用于将数据从浏览器发送至服务器的代码

这些数据库包括用户在浏览器、浏览记录、cookie中保存的用户名和密码,甚至还包括保存的银行卡信息。

浏览器数据库所包含的某个网站的登录名和密码

结果,攻击者就可以获取受害者在不同网站多个账户的登录权限。

第三,攻击者可能用超用户权限窃取系统中的任何文件,包括照片、文档以及含有移动应用账户信息的文件。

这类攻击能导致大量重要用户数据失窃。我们建议用户不要安装非官方来源的APP,并使用杀毒工具来保护安卓设备。



原文发布时间:2017年3月24日

本文由:securelist发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/tordow-trojan-know-download-plug-in-extend-functionality

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
30天前
|
人工智能 监控 中间件
如何用go语言实现类似AOP的功能
本文介绍了如何在 Go 语言中借鉴 Java 的 AOP(面向切面编程)思想,通过 Gin 框架的中间件和函数包装机制实现日志记录、权限校验等横切关注点与业务逻辑的解耦。内容涵盖 AOP 的优点、Go 中的实现方式、Gin 中间件与 AOP 的异同,帮助开发者提升代码模块化与可维护性。
|
3月前
|
IDE 开发工具 开发者
使用DevEcoStudio 开发、编译鸿蒙 NEXT_APP 以及使用中文插件
# 使用DevEcoStudio 开发、编译鸿蒙 NEXT_APP 以及使用中文插件 #鸿蒙开发工具 #DevEco Studio
256 1
|
30天前
|
编解码 数据安全/隐私保护
手机录制脚本自动执行, 免root屏幕录制脚本,自动脚本精灵app【autojs】
自动创建保存目录确保路径存在 动态生成带时间戳的文件名避免重复
|
3月前
|
XML 数据格式
美团抢单辅助器app,美团众包抢单辅助脚本,骑手自动抢高价单插件
这是一段关于美团骑手抢单辅助脚本的介绍。使用该脚本可设置最高与最低价格、延迟时间等参数,通过自动化检测和抢单功能帮助骑手提高收入。
|
6月前
|
SQL 运维 监控
高效定位 Go 应用问题:Go 可观测性功能深度解析
为进一步赋能用户在复杂场景下快速定位与解决问题,我们结合近期发布的一系列全新功能,精心梳理了一套从接入到问题发现、再到问题排查与精准定位的最佳实践指南。
Go 中使用切片来实现动态数组的功能
Go 中使用切片来实现动态数组的功能
|
9月前
|
存储 监控 API
app开发之安卓Android+苹果ios打包所有权限对应解释列表【长期更新】-以及默认打包自动添加权限列表和简化后的基本打包权限列表以uniapp为例-优雅草央千澈
app开发之安卓Android+苹果ios打包所有权限对应解释列表【长期更新】-以及默认打包自动添加权限列表和简化后的基本打包权限列表以uniapp为例-优雅草央千澈
797 11
|
算法 搜索推荐 Unix
快速指南: Go 1.19功能
快速指南: Go 1.19功能
【Azure App Service】列举为App Service集成虚拟网络(VNET)操作时所需要的最小权限
【Azure App Service】列举为App Service集成虚拟网络(VNET)操作时所需要的最小权限
|
API 数据安全/隐私保护
【Azure 应用服务】App Service 通过 wardeploy 部署 war 包,如何指定到 root目录为wwwroot
【Azure 应用服务】App Service 通过 wardeploy 部署 war 包,如何指定到 root目录为wwwroot