Stappen Om Yapta-malware Te Repareren

September 4, 2021 By Brian Moses Off

Table of Contents

Aanbevolen: Fortect

1. Download en installeer Fortect

2. Open het programma en klik op "Scannen"

3. Klik op "Repareren" om het reparatieproces te starten

Download deze software en repareer uw pc binnen enkele minuten.

Als de meeste mensen yapta-malware hebben, kan de gids een paar helpen.

We hebben onlangs een ongelooflijke analyse uitgevoerd van de Android-malware-impact waarvan we denken dat deze verband houdt met de StrongPity APT-groep die is geschreven op de Syrische e-government-website. Voor zover je weet, zouden dit de eerste paar uur zijn dat de groep volledig wordt bewaakt, net zoals ze kwaadaardige Android-apps gebruiken voor dit deel van hun aanvallen.

We hoorden voor het eerst over een instantiethread die door MalwareHunterTeam op Twitter was geplaatst. Op basis van de thread waren we van mening dat het gepresenteerde voorbeeld een mooie Trojaanse versie is van de Syrische e-gov-app voor Android, die contactgegevens steelt en bestanden verzamelt met de gewilde extensies van het apparaat van het slachtoffer.

In reactie op deze thread werd er vervolgens op gewezen dat de giftige APK waarschijnlijk verband hield met het gebruik van de “waterput” -procedure: de aanvaller zou de geautoriseerde Syrische website E-Gov en de fundamentele Android-app hebben gecompromitteerd op elk Trojaans paard, verwisseld met een bestandsversie van de hele originele … verklaring. Vanwege mijn achterdochtige aard van deze activiteit, heeft ons team besloten om aanvullende informatie te verkrijgen.

In deze blogpost wordt besprokenHier zijn tal van tactieken, trucs en ideeën van een groep aanvallen die verband houden met Android of spyware, en wordt uitgelegd waarom deze acties als een bedreiging voor deze speler kunnen worden beschouwd. Daarnaast zullen we vaak de ontwikkelingsvoortgang van de beste aanvallers onderzoeken om vele andere smaken van het Android-spywarekanaal te identificeren dat door StrongPity wordt gegenereerd. Ten slotte kunnen individuen kort de verschillende soorten malware bespreken, waaronder de Android-versie van het grootste deel van de Trojan, die in ontwikkeling lijkt te zijn en een aantal testdoeleinden bevat.

Het eerste dat we leerden was de URL waar het wraakzuchtige APK-bestand was georganiseerd (https: // egov [.] sy / mobile versus egov [.] apk). De versie van al dit register die op het waardevolle moment van schrijven van de website kan worden ontvangen, is een schone variant van de Syrische e-government van Android, die verschilt van de gemene app die eerder op Twitter werd genoemd. Dit betekent dat op het moment dat dit model werd gemaakt, de kwaadaardige transcriptie van de applicatie door de website werd verwijderd.

Ten minste verschillende andere voorbeelden met dezelfde nuttige toepassingsnaam (“Ø¨ÙИØ§Ø¨ØªÙŠ”) En het replicerende pakket (com names.egov.app. *) U kunt u vinden op VirusTotal. We plaatsen alle door deze monsters samen te voegen en kwam je tot de conclusie dat ze onschadelijk zijn. Dit type toepassing zou gepland zijn voor de periode van februari 2020 tot maart 2021. We begrijpen dat dit bijna officiële behandelingen zijn voor de Syrische E-Gov-site.

De aanvaller die in de Twitter-feed wordt genoemd, is momenteel beschikbaar op VirusTotal en op het moment van schrijven waren er naar verluidt zeer positieve resultaten. Hoewel sommige antiviruswebsites het geïdentificeerde malwarevoorbeeld bij Bahamut erkennen, trokken we de bijbehorende nauwkeurigheid van de toewijzing van de Bahamut APT-groep in twijfel. Nader onderzoek onthulde meer dan een paar dingen die mogelijk haters zouden kunnen binden aan de StrongPity APT-groep.

De kwaadaardige versie van het optreden (fd1aac87399ad22234c503d8adb2ae9f0d950b6edf4456b1515a30100b5656a7) is gemaakt in mei 2021 (de enige tijdstempels in het document geven de datum van succesvolle uitvoer aan 03-05-2121, en de volledige virusgegevens zijn geüpload van 24 tot 24 mei. Deze applicatie wordt simpelweg afgesloten met een ander certificaat en bleek ook tot stand te zijn gekomen door de baanbrekende applicatie van de Syrische overheid opnieuw te verpakken, echter alle originele verzoeken zijn ondertekend evenals één aanvullend certificaat.

yapta-malware

De kwaadaardige toepassing heeft het bestand AndroidManifest.xml gewijzigd om verwijzingen naar veel andere klassen te bevatten en bovendien om aanvullende autorisaties voor sommige ervan te vragen (zie het hele apparaat in Afbeelding 3).

Codeweergave toegevoegd

De aanvaller heeft mijn volgende programma’s aan deze applicatie toegevoegd; sommige mensen van deze klassen (com.egov.app.NetworkStatusService, com.egov.app.Receiver) gebruiken de gewijzigde AndroidManifest.xml.

tegen.

De afbeelding toont de namen van veel klassen en methoden die bij andere klassen horen, worden willekeurig toegewezen. Dit belpatroon moet waarschijnlijk zijn gemaakt door de verduisteringstool van Major Software

yapta-malware

Twee extra bronnen zijn toegevoegd aan de kwaadaardige toepassing: een assist en bovendien een ontvanger. De ontvanger start een kwaadaardige service. De kwaadaardige service wordt feitelijk gedeclareerd in vergelijking met een Android-service, een substantiële toepassingscomponent die langdurige achtergrondtaken van een persoon uitvoert. Kwaadaardig

Deze service wordt gedeclareerd met hoe het “com.egov.app.NetworkStatusService” deel van de klassenaam en niet te vergeten wordt gestart door de ontvanger vanwege de klasse.

Tijdens analyse in de configuratie en code van de ontvanger zijn een aantal methoden gevonden die tegen enkele van de kwaadaardige NetworkStatusServices draaien. Dienst

die meestal wordt geactiveerd wanneer de apparaatverbinding verandert. Djdeeu registreert een klasse A-advertentie voor CONNECTIVITY_CHANGE.Service
Ze kunnen altijd worden gegenereerd op basis van de acties van de specifieke launcher of andere geabonneerde ontvangers.
De bankservice kan worden gestart door het “alarm”-mechanisme te proberen.

Wanneer de kwaadaardige NetworkStatusService is gebouwd, voert deze deze kwaadaardige functie uit via een pakket dat wordt gegenereerd door implicatie-handlers die verantwoordelijk zijn voor het verwerken van een verscheidenheid aan berichten.

Het voorbeeld kan ons “handler”-mechanisme maken om verklaringen te verzenden die kwaadaardig gedrag veroorzaken. Een gespecialiseerde opsommingsstructuur wordt gebruikt om berichttypes te karakteriseren.

Alles wat met berichten te maken heeft, helpt bij het gedrag via de handler. Hier is een zeer korte beschrijving van de doelstellingen en het gedrag van de persoon voor elke openhartige opmerking:

Wanneer dit bericht is ontvangen, is het duidelijk dat een ideale periodieke taak zeker is geweest voor het hartslagbericht.

Wanneer u dit bericht verzendt, moet u een algemene taak definiëren voor het hoofdsynchronisatiebericht.

Deze e-mail activeert een doelhartslag die een verzoek op het C&C-internet plaatst en uw versleutelde reactie ontvangt.

De versleutelde payload wordt eerst bewaard in de map

/.android/water.zip, als het water.zip-bestand wordt gedecodeerd, wordt de verder gedecodeerde payload geconstrueerd naar /.android /e.zip.

Het geüploade e.zip-bestand wordt gevolgd door gedecomprimeerd in

/.android, zodat een fantastisch bestand met de naam config.properties meestal mogelijk is.

Aanbevolen: Fortect

Bent u het beu dat uw computer traag werkt? Zit het vol met virussen en malware? Vrees niet, mijn vriend, want Fortect is hier om de dag te redden! Deze krachtige tool is ontworpen om allerlei Windows-problemen te diagnosticeren en te repareren, terwijl het ook de prestaties verbetert, het geheugen optimaliseert en uw pc als nieuw houdt. Wacht dus niet langer - download Fortect vandaag nog!

1. Download en installeer Fortect

2. Open het programma en klik op "Scannen"

3. Klik op "Repareren" om het reparatieproces te starten

Tot slot is het dossier zeker onderzocht en geanalyseerd. Deze onroerende goederen worden opgehaald en geschreven als gelokaliseerde configuratie-instellingen met gedeelde voorkeuren, zodat de meeste virussen hun gedrag kunnen veranderen op basis van configuratie.

Synchronisatie – het doen is een repetitieve instelling. Het slaat bestanden op die elke 3000 seconden op geïnfecteerde apparaten zijn gemaakt.

Ten eerste rangschikt het alle persoonlijke bestanden in

/.android/.lib2. Het resulteert dan in een onhandig bestand met .zip-materiaal (merk op dat de unieke ID niet echt de echte apparaat-ID is, de kwaadaardige software berekent gewoon een aangepaste unieke ID op basis van de artikel-ID naast de waarde), schrijft de documenten naar een geweldig gecomprimeerd bestand.

Upload tot slot vaak het zip-bestand naar de C&C-hostingserver en verwijder alle bestanden naar

/.android/.lib2 en comprimeer ook elk verbonden .zip-bestand.

De verkoper van deze advertentie verzamelt waarschijnlijk gegevens over het muziektechnologische instrument van het slachtoffer. Ten eerste verzamelt het aanvullende contactgegevens, die afkomstig zijn van informatienetwerken die beschikbaar zijn via Wi-Fi.

Het doorzoekt vervolgens de apparaatmappen en verzamelt alle bestanden die strijden met de vooraf gedefinieerde bestandsextensies:

.asc
.dgs
.doc
.docx
.edf
.gpg
.jpeg
.jpg
.key
.m2r
.meo
.pdf
.pgp
.pir
.pkr
.lokale barscene
.rjv
.rms
.zoekmachine optimalisatie
.zit
.skr
.sys
.xls
. xlsx

Wanneer deze e-mail wordt ontvangen, wordt de eigenaar van de belangrijkste “berichtenverzameling” geconfronteerd met de enorme periodieke taak.

In dit voorbeeld worden zeer modulaire componenten gebruikt die zijn ingebouwd in een beheerde architectuur om componenten te verzenden, naast het lossen ervan. De functies onCreate en onDestroy zijn ongetwijfeld de gebruikelijke procedure voor het laden in combinatie met het lossen van een onderdeel.

Regisseur):