Schritte Zur Wartung Von Yapta-Malware
September 4, 2021
Empfohlen: Fortect
Wenn Sie im Besitz von yapta-Malware sind, könnte die folgende Anleitung helfen.
Wir haben kürzlich eine Analyse zum Android-Malware-Fußabdruck durchgeführt, von dem jeder glaubt, dass er mit der StrongPity APT-Gruppe zusammenhängt, die normalerweise auf der syrischen E-Government-Website veröffentlicht wird. Soweit Sie wissen, sind dies die ersten Stunden, in denen die Gruppe wahrscheinlich unter vollständiger Überwachung steht, da sie bei dieser Sache ihrer Angriffe bösartige Android-Apps einsetzen.
Wir haben zum ersten Mal von einem Beispiel-Thread zu Twitter von MalwareHunterTeam gehört. Basierend auf dem Thread haben wir festgestellt, dass jedes unserer vorgestellten Beispiele eine Trojaner-Version der syrischen e-gov-App ist, um Android zu erhalten, die Kontakte stiehlt und Dateien mit den gewünschten Erweiterungen auf dem Gerät des Opfers anhäuft.
Als Ergebnis dieses Threads wurde darauf hingewiesen, dass das bösartige APK wahrscheinlich mit der Verwendung der Methode “Wasserbrunnen” zusammenhängt: Der Gegner hat angeblich das offizielle syrische Webgeschäft E-Gov und das zugrunde liegende Android kompromittiert mobile App auf jedem Trojaner, ersetzt durch eine wichtige Dateiversion der primären … Anweisung. Aufgrund der verdächtigen Merkmale dieser Aktivität haben wir uns entschlossen, Ihnen bei der Beschaffung zusätzlicher Informationen zu helfen.
In diesem WordPress-Bog-Post werden einige Taktiken, Tricks und Lösungen für eine Gruppe von Angriffen im Zusammenhang mit Android oder Spyware beschrieben und erklärt, warum die Aktionen dieser Personen als Gefahr für diesen Spieler angesehen werden können. Darüber hinaus werden wir auf dem Markt auch einige der Entwicklungsfortschritte dieser Angreifer untersuchen, indem wir mehrere andere Varianten des von StrongPity aufgebauten Android-Malware-Kanals identifizieren. Schließlich können wir kurz verwandte Malware-Varianten diskutieren, einschließlich jeder Android-Version des Trojaners, und auch dieser scheint sich in der Entwicklung zu befinden und enthält einige Testfunktionen.
Das erste, was wir erfahren haben, war die URL, unter der die bösartige APK-Anwendung organisiert war (https: // egov [.] sy / mobile / egov [.] apk). Die Version dieses PCs, die zum Zeitpunkt der Erstellung von Artikeln von dieser Website heruntergeladen werden kann, ist eine saubere Version des syrischen E-Government von Android, die sich oft von der zuvor auf Twitter erwähnten bösartigen App unterscheidet. Dies bedeutet, dass Experten zum Zeitpunkt der Erstellung des Modells wahrscheinlich behaupten, dass die bösartige Version der Anwendung normalerweise aus der URL entfernt wurde.
Mindestens sechs weitere Erfahrungen mit dem gleichen wichtigen Anwendungsnamen („بÙИابتي“) und dem Spiegelungscontainer (com names.egov.app. *) sind bei VirusTotal zu finden Gerichte zusammen und kamen unterm Strich zu dem Schluss, dass sie alle harmlos sind. Diese Art der Bewerbung war für den Zeitraum ab Februar 2020 geplant, um euch im März 2021 zu unterstützen .
Der im Twitter-Feed erwähnte Aggressor wird derzeit auf VirusTotal verfügbar sein und bis zum Zeitpunkt dieses Schreibens wurde Berichten zufolge in der Regel mehrere positive Belohnungen erhalten. Während einige Antiviren-Organisationen anerkennen, dass Malware-Beispiele für Bahamut identifiziert wurden, habe ich tatsächlich die damit verbundene Genauigkeit einer Zuschreibung der Bahamut APT-Freundesgruppe in Frage gestellt. Weitere Recherchen ergaben mehrere Dinge, die normalerweise Hasser mit unserer StrongPity APT-Gruppe verbinden könnten.
Die hasserfüllte Version des Formulars (fd1aac87399ad22234c503d8adb2ae9f0d950b6edf4456b1515a30100b5656a7) könnte im Mai 2021 erstellt worden sein (die exklusiven Zeitstempel in der Datei weisen darauf hin, dass das Datum der erfolgreichen Erstellung am 05.03.2121 zusammen mit der gesamten Virendatei von 24. bis 24. Mai. Dieser Antrag ist einfach mit einem bestimmten anderen Zertifikat unterschrieben und wurde auch durch Umpacken des revolutionären Antrags der syrischen Regierung erstellt. Alle neuen Anträge werden jedoch mit einem anderen Zertifikat unterzeichnet.
Die Malware-Anwendung hat die Datei AndroidManifest.xml so geändert, dass sie Verweise auf zusätzliche Klassen enthält und danach zusätzliche Berechtigungen für einige von ihnen anfordern (siehe Rückseite des Geräts Abbildung 3).
Codeansicht hinzugefügt
Der Angreifer hat dieser Anwendung die folgenden Möglichkeiten hinzugefügt; einige der besten Klassen (com.egov.app.NetworkStatusService, com.egov.app.Receiver) verweisen auf die neue AndroidManifest.xml.
gegen.
Die Abbildung zeigt, dass die Details vieler Klassen und Methoden, die mit anderen Klassen eingeschlossen sind, zufällig zugewiesen werden ,. Dieses Aufrufmuster wurde wahrscheinlich vom riesigen Verschleierungssystem von Major Software erfunden
Üblicherweise wurden der bösartigen Anwendung zwei spezielle Ressourcen hinzugefügt: ein Dienst und zusätzlich ein Empfänger. Der Empfänger beginnt mit einem bösartigen Dienst. Der bösartige Dienst wird eigentlich als Android-Dienst deklariert, bei dem es sich um eine Anwendungskomponente handelt, die langfristige Hintergrundaufgaben der jeweiligen Person ausführt. Bösartig
Dieser Dienst kann mit dem Teil “com.egov.app.NetworkStatusService” deklariert werden, der mit dem Klassennamen verknüpft ist und wird vom Empfänger des Feldes begonnen.
Während der Analyse der Konfiguration und des Codes des Empfängers wurde festgestellt, dass mehrere Methoden gegen den bösartigen NetworkStatusService ausgeführt werden. Dienst
- die ausgelöst wird, wenn sich die Geräteverbindung ändert. Djdeeu abonniert ein Klasse-A-Radio für CONNECTIVITY_CHANGE.Service
- Sie können mit den Aktionen des Launchers und anderer abonnierter Empfänger generiert werden.
- Der High-Street-Bank-Service kann gestartet werden, indem man nach dem “Alarm”-Mechanismus sucht.
Wenn sein bösartiger NetworkStatusService gestartet wird, verspielt er diese bösartige Funktion durch ein Kit, das von Nachrichtenhandlern generiert wird, die gemeinsam für die Verarbeitung bestimmter Nachrichten verantwortlich sind.
Das Beispiel verwendet den “Handler”-Mechanismus unseres Unternehmens, um Nachrichten zu senden, die böswilliges Verhalten hervorrufen. Eine professionelle Aufzählungsregel wird verwendet, um Nachrichtenformulare zu definieren.
Alles, was mit Nachrichten zu tun hat, verursacht Verhalten durch den Handler. Hier ist ein kurzes Profil der Absichten und Befolgung der Person für jede aufrichtige Nachricht:
Wenn diese Nachricht empfangen wird, ist das Konzept klar, dass eine ideale unregelmäßige Aufgabe für Sie festgelegt wurde, die Heartbeat-Nachricht.
Beim Schreiben dieser Nachricht müssen Sie eine neue allgemeine Aufgabe für den Synchronisierungsbeitrag definieren.
Diese Nachricht löst einen echten Ziel-Heartbeat aus, der eine Anfrage an den C&C-Server sendet und Ihre verschlüsselte Antwort erhalten kann.
Die gesicherte Nutzlast wird zuerst im jeweiligen Verzeichnis
Die hinzugefügte e.zip-Datei wird dann einfach in
Empfohlen: Fortect
Sind Sie es leid, dass Ihr Computer langsam läuft? Ist es voller Viren und Malware? Fürchte dich nicht, mein Freund, denn Fortect ist hier, um den Tag zu retten! Dieses leistungsstarke Tool wurde entwickelt, um alle Arten von Windows-Problemen zu diagnostizieren und zu reparieren, während es gleichzeitig die Leistung steigert, den Arbeitsspeicher optimiert und dafür sorgt, dass Ihr PC wie neu läuft. Warten Sie also nicht länger - laden Sie Fortect noch heute herunter!
Schließlich wurde die Datei analysiert und analysiert. Diese Eigenschaften werden zurückgewonnen und als lokale Konfigurationseinstellungen für gemeinsam genutzte Parameter geschrieben, sodass Viren ihr Verhalten je nach Layout ändern.
Synchronisierung – Es handelt sich um eine absolute Wiederholungseinstellung. Es lädt alle 3000 auf infizierten Geräten erstellte Dateien herunter.
Zunächst werden alle eigenen individuellen Dateien in
Zum Schluss laden Sie die ZIP-Datei komplett auf den C&C-Server hoch und speichern Sie alle Dateien in
In der Zwischenzeit sammelt diese Anzeige Studien über das Musikinstrument des Opfers. Erstens sammelt es Kontaktinformationen, die aus Informationen über Netzwerke entnommen werden können, die über Wi-Fi gekauft werden können.
Es durchsucht dann die Geräteverzeichnisse und sammelt praktisch alle Dateien, die mit den vorgegebenen Dateierweiterungen konkurrieren:
- .asc
- .dgs
- .doc
- .docx
- .edf
- .gpg
- .jpeg
- .jpeg
- .key
- .m2r
- .meo
- .pgp
- .pir
- .pkr
- .pub
- .rjv
- .rms
- .sem
- .sitzen
- .skr
- .sys
- .xls
- . xlsx
Wenn diese Nachricht angeboten wird, wird dem Besitzer der “Nachrichtensammlung” typischerweise eine enorme gelegentliche Aufgabe gestellt.
Dieses Beispiel erfordert hochmodulare Komponenten, die in diese verwaltete Architektur integriert sind, um Komponenten wieder zu laden und zu entladen. Die Funktionen onCreate und onDestroy sind das weit verbreitete Verfahren zum Laden in Verbindung mit dem Entladen einer Komponente.
Direktor):
- pekmek (Kryptografie verwendet AES zum Entschlüsseln und sicheren Verschlüsseln von Infodateien und Zeichenfolgen.
- ltymcr (Hilfsklasse): bietet viele Funktionen, Dienstprogramme.
Laden Sie diese Software herunter und reparieren Sie Ihren PC in wenigen Minuten.Yapta Malware
Yapta Malware
Logiciel Malveillant Yapta
Yapta Malware
얍타 악성코드
Malware Yapta
Yapta Vredonosnoe Po
Yapta Skadlig Kod
Zlosliwe Oprogramowanie Yapta
Malware Yapta
