社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
  • 677阅读
  • 2回复

[分享]下载破亿的知名安卓App「CamScanner」遭爆含有特洛伊木马

楼层直达
z3960 
级别: 茶馆馆主
发帖
770868
飞翔币
207694
威望
215657
飞扬币
2511641
信誉值
8

最近,流行的CamScanner - 手机PDF创建者应用引起了我们的注意。 据Google Play称,它的安装次数已超过1亿次。 开发人员将其定位为扫描和管理数字化文档的解决方案,但过去一个月留下的负面用户评论表明存在不需要的功能。 [/table]在分析应用程序后,我们看到其中包含恶意dropper组件的广告库。 以前,在中国制造的智能手机上预装的恶意软件中经常会发现类似的模块。 可以假设添加此恶意软件的原因是应用开发者与不道德的广告客户的合作关系。卡巴斯基解决方案将此恶意组件检测为Trojan-Dropper.AndroidOS.Necro.n。 我们向Google公司报告了我们的调查结果,该应用程序已立即从Google Play中删除。关于Necro.n的技术细节当应用程序运行时,dropper会解密并执行app资源中mutter.zip文件中包含的恶意代码。 接下来,解密名称为“comparison”的配置文件。 解密后,我们使用攻击者服务器的地址获取以下配置。

[Asm] 纯文本查看 复制代码

?[tr=none]
1
2
3
4
5
6
7
8
9
{  "hs": {    "server": "https://abc.abcdserver[.]com:8888",    "default": "https://bcd.abcdserver[.]com:9240",    "dataevent": "http://cba.abcdserver[.]com:8888",    "PluginServer": "https://bcd.abcdserver[.]com:9240"  },….}Dropper从这些URL下载其他模块: 然后它执行其代码: 上述Trojan-Dropper.AndroidOS.Necro.n功能执行恶意软件的主要任务:从恶意服务器下载并启动有效负载。 因此,该模块的所有者可以以他们认为合适的任何方式使用受感染的设备,从显示受害者侵入性广告到通过向付费订阅收取移动帐户中的资金。直接线上翻译原文在此https://securelist.com/dropper-in-google-play/92496/
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
级别: 超级版主
发帖
830456
飞翔币
224550
威望
224618
飞扬币
2422758
信誉值
0

只看该作者 1 发表于: 2019-09-02
来看一下
级别: 超级版主
发帖
830456
飞翔币
224550
威望
224618
飞扬币
2422758
信誉值
0

只看该作者 2 发表于: 2019-09-02
不错,了解了