Passaggi Per Correggere Il Malware Yapta

September 4, 2021 By Lawrence Scanlon Off

Table of Contents

Consigliato: Fortect

1. Scarica e installa Fortect

2. Apri il programma e fai clic su "Scansione"

3. Fai clic su "Ripara" per avviare il processo di riparazione

Scarica questo software e ripara il tuo PC in pochi minuti.

Se tutta la tua famiglia ha malware yapta, la seguente guida potrebbe aiutarti.

Di recente abbiamo condotto una nuova grande analisi delle dimensioni del malware Android che riteniamo possa essere appropriata per il gruppo StrongPity APT divulgato sul sito Web di e-government siriano. Per quanto ne sai, queste sono state le prime ore in cui un particolare gruppo è sotto piena sorveglianza poiché utilizza app Android dannose vicino a questa parte dei loro attacchi.

Abbiamo sentito parlare per la prima volta di un thread di posizione pubblicato su Twitter da MalwareHunterTeam. Sulla base del thread, abbiamo stabilito che l’esempio presentato è una versione funzionale Trojan dell’app e-gov siriana per Android, che ruba notifiche e raccoglie file con le migliori estensioni dal dispositivo della vittima.

In risposta a questo thread, quindi, è stato sottolineato che l’APK dannoso era probabilmente correlato all’uso particolare dei segreti del “pozzo d’acqua”: l’attaccante avrebbe compromesso il sito ufficiale siriano E-Gov e l’app fondamentale per Android su ogni Trojan, sostituito da una versione del file di ogni originale … istruzione. A causa di questa natura sospetta di questa attività, abbiamo deciso di ottenere ulteriori informazioni.

Questo post sul blog discuteEcco una o due delle tattiche, trucchi e opzioni di un gruppo di attacchi collegati ad Android o spyware e spiega perché queste azioni possono essere considerate una minaccia per questo giocatore. Oltre a questo, esamineremo anche i progressi di sviluppo di molti aggressori per identificare un buon numero di altri tipi del canale di spyware e adware Android generato da StrongPity. Infine, io e mio marito possiamo discutere brevemente le relative variazioni di malware, inclusa la versione Android del solito Trojan, che sembra essere in fase di sviluppo e include alcuni aspetti di test.

La prima cosa che abbiamo saputo è stata l’URL in cui è stato organizzato il file APK dannoso (https: // egov [.] sy / mobile e egov [.] apk). La versione di questo registro che può essere scaricata dal sito Web al momento della scrittura è un’opzione pulita dell’e-government siriano di Android, che è diversa dalla brutta app menzionata in precedenza su Twitter. Ciò significa che al momento della creazione del nostro modello, l’alternativa dannosa dell’applicazione è stata rimossa tra il sito Web.

Almeno da sei a otto altri esempi con lo stesso nome dell’applicazione principale (“Ø¨ÙИØ§Ø¨ØªÙŠ”) e il pacchetto riflettente (com names.egov.app. *) Possono essere trovati su VirusTotal. Mettiamo cosa questi campioni insieme e siamo giunti alla conclusione che sono tutti innocui.Questo tipo di applicazione è stato in realtà pianificato per il periodo da febbraio 2020 a marzo 2021. Accettiamo per vero che si tratta di moduli di domanda quasi ufficiali per l’E-Siriano Sito governativo.

L’attaccante menzionato nel feed Twitter è attualmente disponibile su VirusTotal e al momento in cui scriviamo, secondo quanto riferito ci sono stati molti di questi risultati positivi. Mentre alcune organizzazioni no-profit antivirus riconoscono il campione di malware identificato a causa di Bahamut, abbiamo messo in dubbio l’associazione squisitamente dettagliata dell’attribuzione del gruppo Bahamut APT. Ulteriori ricerche hanno rivelato una serie di cose che potrebbero potenzialmente parlare di odiatori al gruppo StrongPity APT.

La versione dannosa della forma (fd1aac87399ad22234c503d8adb2ae9f0d950b6edf4456b1515a30100b5656a7) è stata creata nel maggio 2021 (gli unici timestamp nella directory indicano la data di crescita riuscita 03-05-2121 e l’intero record del virus è stato caricato dal 24 maggio al 24 maggio positivamente. Questa applicazione è semplicemente inchiostrata con un certificato diverso e si è rivelata creata anche riconfezionando la moderna applicazione del governo siriano.Tuttavia, tutte le richieste originali sono firmate complete di un certificato aggiuntivo.

yapta malware

L’applicazione dannosa ha modificato il file AndroidManifest.xml per contenere riferimenti a molte più classi e ha inoltre richiesto un’ulteriore lettura e scrittura per alcune di esse (vedere il mio dispositivo nella Figura 3).

Aggiunta visualizzazione codice

L’attaccante ha aggiunto uno dei seguenti programmi a questa applicazione; molte di queste classi (com.egov.app.NetworkStatusService, com.egov.app.Receiver) generano il file AndroidManifest.xml modificato.

contro.

La figura mostra il fatto che i nomi di molte classi e quindi i metodi associati ad altre classi sono stati assegnati casualmente. Questo modello di chiamata è stato probabilmente creato dal sostanziale strumento di offuscamento di Major Software

yapta malware

Sono state aggiunte due risorse aggiuntive all’applicazione dannosa: un centro e, inoltre, un ricevitore. Il destinatario avvia un servizio dannoso. Il servizio dannoso è effettivamente dichiarato considerando che un servizio Android, che è il componente dell’applicazione, che esegue le abilità di fondo a lungo termine di una persona. Maligno

Questo servizio viene dichiarato con attualmente la parte “com.egov.app.NetworkStatusService” del nome della classe viene avviata anche dal destinatario della classe.

Durante l’analisi che coinvolge la configurazione e il codice del destinatario, sono stati trovati molti metodi in esecuzione contro il più importante NetworkStatusService dannoso. Servizio

che può essere attivato quando si sviluppa la connessione del dispositivo. Djdeeu registra una musica di classe A per CONNECTIVITY_CHANGE.Service
Possono finire per essere generati dalle azioni del tuo attuale launcher o di altri destinatari iscritti.
Il servizio bancario può essere attivo e funzionante provando il meccanismo di “allarme”.

Quando il NetworkStatusService dannoso è impostato, esegue questa funzione dannosa da un pacchetto generato da gestori di messaggi di prova che sono responsabili dell’elaborazione di messaggi eccezionali.

L’esempio può utilizzare il nostro meccanismo di “gestore” per inviare e-mail che causano comportamenti dannosi. Una struttura di enumerazione esecutiva viene utilizzata per delineare i tipi di messaggio.

Tutto ciò che riguarda i messaggi determina il comportamento attraverso il gestore. Ecco una breve descrizione affidabile delle motivazioni e del comportamento della persona per ogni concetto spontaneo:

Quando questo messaggio potrebbe essere ricevuto, è chiaro che un’altra attività periodica ideale è stata tv per il messaggio di heartbeat.

Quando invii questo messaggio, dovresti davvero definire un’attività comune per un particolare messaggio di sincronizzazione.

Questa parola attiva un battito cardiaco target che consegna una richiesta all’hosting C&C e riceve la tua risposta crittografata.

Il payload crittografato viene prima annullato nella directory

/.android/water.zip, successivamente il file water.zip viene decrittografato, con l’ulteriore payload decrittografato viene creato in /.android /e.zip .

Il file e.zip caricato viene infine decompresso in

/.android in modo che venga solitamente venduto un file importante chiamato config.properties.

Consigliato: Fortect

Sei stanco del fatto che il tuo computer funzioni lentamente? È pieno di virus e malware? Non temere, amico mio, perché il Fortect è qui per salvare la situazione! Questo potente strumento è progettato per diagnosticare e riparare tutti i tipi di problemi di Windows, migliorando allo stesso tempo le prestazioni, ottimizzando la memoria e mantenendo il PC funzionante come nuovo. Quindi non aspettare oltre: scarica Fortect oggi!

1. Scarica e installa Fortect

2. Apri il programma e fai clic su "Scansione"

3. Fai clic su "Ripara" per avviare il processo di riparazione

Infine, il fascicolo portato è stato esaminato e analizzato. Questi ingredienti vengono recuperati e scritti come impostazioni di configurazione delle preferenze condivise dello stato in modo che molti virus possano modificare il loro comportamento durante la configurazione.

Sincronizzazione -che è un’impostazione ripetitiva. Recupera i file creati su dispositivi infetti per molti 3000 secondi.

Innanzitutto, cronometra tutti i file personali in

/.android/.lib2. Risulta quindi in un file zip con .zip informazioni importanti (si noti che l’ID univoco è lontano dall’ID del dispositivo reale, lo spyware e l’adware calcolano solo un ID univoco personalizzato in base all’ID dell’articolo e inoltre al valore), scrive i documenti in un nuovo file compresso.

Infine, carica solitamente il file zip nel server C&C ed elimina tutti i file quando si tratta di

/.android/.lib2 e comprimi anche ciascuno dei nostri file .zip collegati.

Il venditore di questo annuncio può raccogliere dati sullo strumento musicale della vittima. Innanzitutto, raccoglie la comunicazione di contatto, che viene presa dalle informazioni sulle reti disponibili tramite Wi-Fi.

Quindi cerca nelle directory del dispositivo e raccoglie semplicemente tutti i file che competono oltre alle estensioni di file predefinite:

.asc
.dgs
.doc
.docx
.edf
.gpg
.jpeg
.jpg
.key
.m2r
.meo
.pdf
.pgp
.pir
.pkr
.bar
.rjv
.rms
.marketing sui motori di ricerca
.sit
.skr
.sys
.xls
. xlsx

Quando questo messaggio di marketing viene ricevuto, al proprietario della tua “raccolta di messaggi” viene presentata una sorta di enorme compito periodico.

Questo esempio utilizza componenti altamente modulari incorporati in un’architettura gestita per forzare i componenti oltre a scaricare queste persone. Le funzioni onCreate e onDestroy sono in realtà la normale procedura per caricare un componente insieme allo scaricamento.

Direttore):