Yapta 멀웨어 수정 단계

September 4, 2021 By Mohammed Butcher Off

Table of Contents

권장: Fortect

<리>1. Fortect 다운로드 및 설치

2. 프로그램을 열고 "스캔"을 클릭하십시오.

3. 복구 프로세스를 시작하려면 "복구"를 클릭하십시오.

얍타 악성코드가 있는 사람이라면 아래 도움말이 도움이 될 수 있습니다.

우리는 최근에 시리아 전자정부 홈페이지에 게시된 StrongPity APT 커뮤니티와 항상 관련이 있다고 생각되는 Android 스파이웨어 및 발자국에 대한 분석을 완료했습니다. 당신이 아는 한, 이 특정 그룹은 장애의 이 부분에서 악성 Android 훌륭한 앱을 사용하기 때문에 그룹이 완전히 사적인 감시하에 있는 처음 몇 시간입니다.

MalwareHunterTeam을 통해 Twitter에 게시된 새로운 훌륭한 예제 스레드에 대해 처음 들었습니다. 스레드를 기반으로, 대부분은 제시된 예가 의심할 여지 없이 피해자의 솔루션에서 원하는 특정 확장명으로 연락처를 교환하고 파일을 수집하는 Android용 시리아 전자정부 앱의 트로이 목마 버전이라는 것을 발견했습니다.

이 신중한 스레드에 대한 응답으로 일종의 악성 APK가 “워터 웰” 방식을 사용하는 방식과 관련이 있을 가능성이 있다는 점을 지적했습니다. 각 트로이 목마의 Gov 및 기본 Android 앱은 모든 원본 … 문에서 가져온 파일 버전으로 대체됩니다. 이 여가 활동의 의심스러운 특성을 확인하기 위해 추가 소식을 받기로 결정했습니다.

이 블로그 게시물은 일반적으로 Android 또는 스파이웨어와 관련된 일련의 공격에 대한 몇 가지 전술, 속임수 및 그 이후 솔루션에 대해 설명합니다. 또한 이러한 행동이 이 구성원에게 위협으로 간주될 수 있는 이유를 설명합니다. 이 외에도 StrongPity에 의해 생성된 Android 악성 코드 채널의 다른 여러 유형을 계산하기 위해 이러한 공격자와 관련된 개발 진행 상황도 확실히 조사할 것입니다. 마지막으로, 개발 중인 것으로 보이며 일부 테스트된 기능을 포함하는 트로이 목마의 Android 버전을 포함하여 관련 바이러스 변종에 대해 간략하게 논의할 수 있습니다.

실제로 가장 먼저 배운 것은 주요 악성 APK 파일이 관리되는 URL(https: // egov [.] sy / handset / egov [.] apk)이었습니다. 글을 쓰는 시점에 웹사이트에서 바로 다운로드할 수 있는 이 레지스트리 옵션은 앞서 트위터에서 언급한 이 특정 악성 앱과 달리 안드로이드와 관련된 시리아 전자정부의 철저한 클린 버전이다. 이것은 모델이 생성된 에너지에서 애플리케이션의 파괴적인 버전이 웹사이트에서 제거되었음을 의미합니다.

중요한 응용 프로그램 이름(“Ø¨ÙИØ§Ø¨ØªÙŠ”)과 미러링 패키지(com names.egov.app. *)가 있는 약간 다른 6개의 예에서 VirusTotal에서 찾을 수 있습니다. 이 모든 샘플을 적용했습니다. 이러한 유형의 접근 방식은 2020년 2월부터 2021년 3월까지의 기간 동안 계획되었습니다. 우리는 이것이 시리아 전자정부 정보 사이트의 거의 일반적인 응용 프로그램이라고 생각합니다.

특정 Twitter 피드에 언급된 공격자는 현재 VirusTotal에서 사용할 수 있으며 이 글을 쓰는 시점에 몇 가지 긍정적인 결과가 있다고 합니다. 일부 맬웨어 조직은 식별된 맬웨어가 Bahamut에 대해 듣는다는 사실을 인정하지만, 우리는 Bahamut APT 그룹의 속성에 해당하는 정확성에 의문을 제기했습니다. 추가 연구는 잠재적으로 StrongPity APT 클럽에 대한 혐오자를 엮을 수 있는 몇 가지 사항을 공개했습니다.

일부 형식의 악성 버전(fd1aac87399ad22234c503d8adb2ae9f0d950b6edf4456b1515a30100b5656a7)이 2021년 5월에 생성되었습니다(업로드된 전체 파일의 유일한 타임스탬프는 일반적으로 2021년 5월에 생성되었으며 20번째 파일의 유일한 타임스탬프는 anti-032-0,2는 미해결 생성 날짜를 나타냅니다. 이 응용 프로그램은 다른 인증서로 어느 정도 서명되어 있으며 시리아 미국의 혁명적인 응용 프로그램이라고 다시 포장하여 만들었습니다. 그러나 모든 원래 요청은 하나의 추가 인증서로 승인됩니다.

yapta Malware

악성 애플리케이션은 AndroidManifest.xml 파일의 유형을 수정하여 추가 클래스에 대한 참조를 포함하고 관련된 모든 클래스에 대한 추가 권한을 추가로 요청합니다(그림 3의 장치 참조). .

코드 보기 추가

공격자는 이러한 응용 프로그램에 다음 프로그램을 도입했습니다. 이러한 클래스 중 일부(com.egov.app.NetworkStatusService, com.egov.app.Receiver)는 수정된 AndroidManifest.xml을 참조합니다.

에 맞서.

다른 교육과 관련된 피트니스 및 방법에 대한 많은 클래스의 이름이 무작위로 할당되는 그림 이벤트. 이 호출 레이아웃은 아마도 Major Software의 거대한 난독화 도구에 의해 생성되었을 것입니다.

yapta Malware

최근 악성 애플리케이션에 두 가지 추가 리소스가 추가되었습니다. 바로 서비스와 추가로 사람입니다. 받는 사람은 악의적인 회사를 시작합니다. 악성 서비스는 실제로 안드로이드 서비스로 시작되는데, 이는 실제로 사람의 장기 자격 작업을 수행하는 응용 프로그램 구성 요소입니다. 악성

이 서비스는 일반적으로 클래스 언급의 “com.egov.app.NetworkStatusService” 부분으로 선언되며 클래스의 수혜자에 의해 시작됩니다.

수신자의 설정 및 프로그램에 대한 연구 프로젝트 중 악성 NetworkStatusService에서 실행되는 몇 가지 방법이 발견되었습니다. 서비스

<울>

장치 액세서리가 변경될 때 트리거됩니다. Djdeeu는 CONNECTIVITY_CHANGE.Service에 대한 클래스 A 라디오를 등록합니다.

런처 또는 기타 구독하는 사람들과 관련된 작업에서 생성될 가능성이 큽니다.

은행 서비스는 “알람” 작동 원리를 시도함으로써 시작될 수 있습니다.

악성 NetworkStatusService가 시작될 때 컴퓨터 특정 메시지를 담당하는 판매 메시지 처리기가 생성한 패키지를 통해 이 악성 옵션을 수행합니다.

이 예에서는 “처리기” 메커니즘을 사용하여 악의적인 동작을 유발하는 메시지를 반환합니다. 전문적인 열거 구조는 시장에서 메시지 유형을 정의하는 데 사용됩니다.

음성 메시지와 관련된 모든 것은 핸들러를 통해 동작을 유발합니다. 다음은 각 정직한 메시지에 대한 개인화된 의도와 행동에 대한 간략한 설명입니다.

이 단어가 수신되면 하트비트 메시지에 대해 이상적인 주기 태스크가 설정될 수 있음이 분명합니다.

이 메시지를 보낼 때 귀하와 귀하의 가족은 동기화 메시지를 찾기 위한 공통 작업을 정의해야 합니다.

이 메시지는 일반적으로 C&C 서버에 요청을 보내고 암호화된 해상도를 수신하는 대상 하트비트를 트리거합니다.

암호화된 페이로드는 기본적으로

/.android/water.zip 인덱스에 저장되고 water.zip 파일은 해독되고 추가 해독된 페이로드는 일반적으로 /.android /e에 기록됩니다. .지퍼.

업로드된 e.zip 파일은 이후에

/.android로 압축 해제되어 config.properties라는 파일을 항상 사용할 수 있습니다.

권장: Fortect

컴퓨터가 느리게 실행되는 것이 지겹습니까? 바이러스와 맬웨어로 가득 차 있습니까? 친구여, 두려워하지 마십시오. Fortect이 하루를 구하러 왔습니다! 이 강력한 도구는 모든 종류의 Windows 문제를 진단 및 복구하는 동시에 성능을 높이고 메모리를 최적화하며 PC를 새 것처럼 유지하도록 설계되었습니다. 그러니 더 이상 기다리지 마십시오. 지금 Fortect을 다운로드하세요!

<리>1. Fortect 다운로드 및 설치

2. 프로그램을 열고 "스캔"을 클릭하십시오.

3. 복구 프로세스를 시작하려면 "복구"를 클릭하십시오.