Pasos Para Cambiar El Malware De Yapta

September 4, 2021 By Gary Lamb Off

Recomendado: Fortect

  • 1. Descargue e instale Fortect
  • 2. Abra el programa y haga clic en "Escanear"
  • 3. Haga clic en "Reparar" para iniciar el proceso de reparación
  • Descarga este software y repara tu PC en minutos.

    Si tiene software espía yapta, la guía a continuación puede ayudar.

    Recientemente, realizamos un análisis de la huella real de malware de Android que creemos que puede estar relacionada con el grupo StrongPity APT publicado en el sitio web del gobierno electrónico sirio. Por lo que un individuo sabe, esta es la primera cantidad de horas que el grupo está bajo vigilancia completa, ya que usan aplicaciones de Android destructivas en esta parte de sus ataques.

    Primero nos enteramos de un hilo de ejemplo publicado en Twitter por MalwareHunterTeam. Basándonos en el hilo real, encontramos que el ejemplo superdotado es una versión troyana sobre la aplicación e-gov siria para Android, que roba contactos y recopila datos con las extensiones deseadas de algún tipo de dispositivo de la víctima.

    En respuesta positiva a este hilo, se señaló abiertamente que el APK malicioso quizás estaba relacionado con el uso de nuestro propio método de “pozo de agua”: el atacante teóricamente comprometió el sitio web oficial sirio E-Gov y el subyacente Aplicación de Android en cada troyano, reemplazada por una versión inicial del informe … original. Debido a la naturaleza sospechosa del uso de esta actividad, decidimos buscar información adicional.

    Este blog analiza aquí algunos de los medios, trucos y soluciones de una institución de ataques relacionados con Android o software espía, y explica por qué estas técnicas pueden considerarse una amenaza directamente para este jugador. Además de nuestro, también examinaremos el aumento del progreso de estos atacantes en condiciones de identificar varios otros sabores del canal de malware de Android generado por StrongPity. Finalmente, podemos tener una breve discusión sobre las variantes de malware relacionadas, incluida la versión para Android del troyano, que se presenta en desarrollo y conlleva alguna funcionalidad de prueba.

    Lo que aprendimos de inmediato fue la URL donde se organizó el archivo APK malicioso (https: // egov [.] sy o mobile / egov [.] apk). La versión de este registro a través de la cual se puede descargar de la red mundial en el momento de redactar este artículo será una versión limpia del gobierno electrónico sirio de Android, que se diferencia de la aplicación maliciosa mencionada anteriormente en Twitter. Esto significa que hacia el momento en que se creó el modelo, la versión maliciosa del trabajo se eliminó del sitio web.

    Al menos otros seis ejemplos equipados con el mismo concepto de aplicación importante (“بÙИابتي”) y el paquete de duplicación (com names.egov.app. *) se pueden encontrar en VirusTotal. muestras todas juntas y llegué a la conclusión de que todas son inofensivas. Este medio de aplicación se planeó para el período de una persona desde febrero de 2020 hasta marzo de 2021. Creemos que estas serán aplicaciones casi oficiales para el sitio de E-Gov sirio. < / p>

    El atacante reconocido en el feed de Twitter tiene opciones disponibles en VirusTotal y en el momento principal de escribir este artículo, se informa que se han mostrado varios resultados positivos. Si bien algunas organizaciones de antivirus reconocen la muestra de malware nombrada para Bahamut, tenemos problemas con la precisión asociada de mi atribución del grupo APT de Bahamut. Investigaciones posteriores revelaron varias cosas que probablemente conecten a los enemigos con el grupo StrongPity APT.

    La opción maliciosa del formulario (fd1aac87399ad22234c503d8adb2ae9f0d950b6edf4456b1515a30100b5656a7) se diseñó en mayo de 2021 (las marcas de tiempo ideales en el archivo indican el momento de la creación exitosa 03-05-2121, y todo el archivo de virus completo se cargó el 24 de mayo. al 24. Esta utilización simplemente se firma con un certificado variado y también fue creado por cortesía de – reempaquetar la aplicación revolucionaria del gobierno sirio. Sin embargo, todos los boletos originales están firmados con un documento oficial adicional.

    yapta malware

    El registro malicioso modificó el archivo AndroidManifest.xml para que posea referencias a clases adicionales y además solicite permisos adicionales para algunos que las usen (consulte el dispositivo en la Figura 3).

    Vista de código agregada

    El atacante agregó los siguientes programas: esta aplicación; algunas de estas sesiones (com.egov.app.NetworkStatusService, com.egov.app.Receiver) hacen referencia al AndroidManifest.xml modificado.

    contra.

    La figura muestra que los nombres creados por muchas clases y métodos asociados con otras clases se asignan aleatoriamente. Este patrón de llamada probablemente fue creado por medio del dispositivo de ofuscación gigante de Major Software

    yapta malware

    Se han agregado dos recursos adicionales a la aplicación perjudicial: un servicio y, como complemento, un receptor. El destinatario inicia un servicio malicioso. Se considera que el servicio malicioso se declara en realidad como un producto de Android, que es un componente de la aplicación, que ejecuta tareas en segundo plano a largo plazo de una persona distinta. Malicioso

    Este servicio se anuncia con la parte “com.egov.app.NetworkStatusService” del nombre de clase específico y se inicia por cortesía del receptor de la clase.

    Durante el análisis de la configuración y el código del destinatario, se detectaron varios métodos que se ejecutaban contra el NetworkStatusService malicioso. Servicio

    • que se activa cuando cambia la conexión del dispositivo. Djdeeu registra su propia radio de clase A para CONNECTIVITY_CHANGE.Service
    • Se pueden generar a partir de sus acciones del lanzador o de todos los demás destinatarios suscritos.
    • El proveedor del banco puede iniciarse probando a menudo el mecanismo de “alarma”.

    Cuando se inicia el NetworkStatusService dañino, aquí realiza una función maliciosa a través de un paquete generado por los controladores de mensajes que se encargan de procesar mensajes específicos.

    El ejemplo usa nuestro aparato “controlador” para enviar mensajes que causan un comportamiento vicioso. Siempre se ha utilizado una estructura de enumeración profesional para definir los tipos de mensajes.

    Cualquier cosa relacionada con los mensajes provoca un comportamiento a través del drejer sig. Aquí hay una breve descripción que incluye las intenciones y el comportamiento de la persona debido a cada mensaje sincero:

    Cuando se recibe este mensaje, definitivamente queda claro que se ha establecido una acción periódica ideal para el mensaje de latidos por minuto.

    Al enviar hasta este mensaje, debe definir una tarea de uso generalizado para el mensaje de sincronización.

    Este mensaje activa un acuerdo con latido que envía una solicitud al servidor C&C y recibe su nueva respuesta encriptada.

    La carga útil codificada se guarda primero en este directorio

    /.android/water.zip, luego se descifra el registro water.zip y la carga útil descifrada mucho más profunda se escribe en /.android / e. Código Postal.

    Luego, el archivo de computadora e.zip cargado se descomprime en

    /.android, de modo que generalmente está disponible un archivo llamado config.properties.

    Recomendado: Fortect

    ¿Estás cansado de que tu computadora funcione lentamente? ¿Está plagado de virus y malware? ¡No temas, amigo mío, porque Fortect está aquí para salvar el día! Esta poderosa herramienta está diseñada para diagnosticar y reparar todo tipo de problemas de Windows, al tiempo que aumenta el rendimiento, optimiza la memoria y mantiene su PC funcionando como nueva. Así que no esperes más: ¡descarga Fortect hoy mismo!

  • 1. Descargue e instale Fortect
  • 2. Abra el programa y haga clic en "Escanear"
  • 3. Haga clic en "Reparar" para iniciar el proceso de reparación

  • Finalmente, el archivo ha sido examinado y analizado adicionalmente. Estas propiedades se recuperan combinadas con las configuraciones escritas como preferencias compartidas locales para que los virus puedan cambiar su comportamiento según la configuración.

    Sincronización: es una configuración frecuente. Descarga archivos creados con respecto a dispositivos infectados cada 3000 segundos.

    Primero, enumera todas las computadoras personales en

    /.android/.lib2. Luego, muestra las estadísticas en un archivo zip, razón suficiente para .zip detalles (tenga en cuenta que la identificación de la creatividad no es la identificación real del elemento del equipo, el malware simplemente calcula una identificación única personalizada basada en la identificación y el valor del artículo), escribe documentos específicos a un archivo comprimido.

    Finalmente, suba el archivo zip para asegurarse de que está en el servidor C&C y elimine casi todos los archivos en

    /.android/.lib2 y comprima cada uno de nuestros archivos .diddly.

    El vendedor de este anuncio está recopilando datos sobre el instrumento musical de la víctima. Primero, recopila información de contacto, que se obtiene de la información sobre las redes disponibles sobre Wi-Fi.

    A continuación, busca normalmente en los directorios del dispositivo y recopila todos los clips que compiten con las extensiones de declaración predefinidas:

    • .asc
    • .dgs
    • .doc
    • .docx
    • .edf
    • .gpg
    • .jpeg
    • .jpg
    • .key
    • .m2r
    • .meo
    • .pdf
    • .pgp
    • .pir
    • .pkr
    • .pub
    • .rjv
    • .rms
    • .sem
    • .sit
    • .skr
    • .sys
    • .xls
    • . xlsx

    Cuando se recibe este mensaje, a cada propietario de la “colección de mensajes” se le debe presentar un enorme empleo periódico.

    Este ejemplo usa muchos componentes modulares integrados en una arquitectura trabajada para cargar componentes en una mejora para descargarlos. Las funciones onCreate pero onDestroy son el curso habitual para cargar junto con la descarga de un componente.

    Director):