Kroki Powrotu Do Naprawy Złośliwego Oprogramowania Yapta

Zalecane: Fortect

Jeśli używasz złośliwego oprogramowania yapta, poniższy przewodnik prawdopodobnie pomoże.

Niedawno przeprowadziliśmy raporty dotyczące śladów złośliwego oprogramowania na Androida, które naszym zdaniem mogą być powiązane, tak aby grupa StrongPity APT opublikowała na waszej syryjskiej witrynie e-administracji. Jak wiecie, jest to kilka pierwszych godzin, w których obchody są pod pełnym nadzorem, ponieważ zaczynają wykorzystywać złośliwe aplikacje na Androida w tego rodzaju części swoich ataków.

Po raz pierwszy usłyszeliśmy o przykładzie ostrożnie opublikowanym na Twitterze przez MalwareHunterTeam. Na podstawie wątku stwierdziliśmy, że prezentowany przykład jest trojanem w wersji syryjskiej aplikacji e-gov dla systemu Android, który kradnie kontakty, a także zbiera z urządzenia ofiary pliki z żądanym rozszerzeniem.

W odpowiedzi na ten wątek wskazano, że złośliwy plik APK był prawdopodobnie powiązany z wykorzystaniem metody „studni wodnej”: powiedziałbym, że atakujący rzekomo naruszył oficjalną syryjską witrynę E-Gov i system Android aplikacja na każdym tronie, zastąpiona dzięki wersji plikowej starego … oświadczenia. Ze względu na wątpliwy charakter tej działalności podjęliśmy decyzję o uzyskaniu dodatkowych informacji.

W tym poście na blogu omawiamy kilka podobnych taktyk, sztuczek i rozwiązań z grupą powiązanych ataków, które pomogą Androidowi lub oprogramowaniu szpiegującemu, i wyjaśnia, z jakiego powodu te działania mogą być uważane za zagrożenie dla tego gracza. Oprócz tego przyjrzymy się również postępom w rozwoju tych przeciwników, aby zidentyfikować kilka kolejnych odmian lejka złośliwego oprogramowania na Androida generowanego przez StrongPity. Wreszcie, mamy możliwość krótkiego omówienia powiązanych wariantów złośliwego oprogramowania, podobnych do wersji trojana na Androida, która wydaje się być odnawiana i zawiera pewne funkcje testowe.

Pierwszą rzeczą, której się dowiedzieliśmy, był adres URL, w którym zorganizowany był złośliwy plik APK (https: // egov [.] sy / mobile dla każdego egov [.] apk). Obecnie wersja tego rejestru, którą można pobrać ze strony internetowej w momencie pisania tego artykułu, jest czystą wersją związaną z syryjskim e-administracją Androida, która niestety różni się od złośliwej aplikacji mobilnej wspomnianej wcześniej na Twitterze. Zwykle w momencie tworzenia mody złośliwa wersja powiązana z aplikacją została usunięta ze strony internetowej.

Co najmniej sześć licznych innych przykładów o tej samej ważnej nazwie aplikacji („بÙИابتي”) Oraz wiele kopii lustrzanych (com names.egov.app. *) Można zobaczyć na VirusTotal. kilka próbek razem i doszliśmy do jednego konkretnego wniosku, że wszystkie są zwyczajne.Ten rodzaj aplikacji był strategiczny dla okresu od lutego 2020 do marca 2021. Wierzymy, że są to prawie oficjalne aplikacje do uzyskania syryjskiej strony E-Gov.

Atakujący wspomniany na Twitterze jest na pewno obecnie dostępny na VirusTotal, ponadto w czasie budowy tego budynku pojawiło się podobno kilka świetnych wyników. Chociaż niektóre organizacje antywirusowe pobierają zidentyfikowaną próbkę złośliwego oprogramowania dla Bahamuta, zakwestionowaliśmy powiązaną dokładność przypisania grupy Bahamut APT. Dalsze badania ujawniły kilka produktów, które mogą potencjalnie łączyć hejterów powracających do grupy StrongPity APT.

Złośliwa wersja figurki (fd1aac87399ad22234c503d8adb2ae9f0d950b6edf4456b1515a30100b5656a7) została utworzona w maju 2021 r. (zwykle znaczniki czasu w pliku oznaczają datę pomyślnej grupy wiekowej 03-05-2121, a cały plik wirusa wydaje się być załadowany od 24 maja do dwudziestego czwartego. Ta aplikacja jest po prostu podpisana innym certyfikatem i została jednocześnie stworzona przez przepakowanie rewolucyjnego pakietu oprogramowania rządu syryjskiego. Jednak prawie wszystkie oryginalne żądania są podpisywane pewnym dodatkowym certyfikatem.

Złośliwa aplikacja zmodyfikowała listę AndroidManifest.xml tak, aby zawierała odniesienia do dodatkowych rodzajów i dodatkowo żądała dodatkowych uprawnień w celu uzyskania niektórych z nich (patrz czytelnik na rysunku 3).

Dodano widok kodu

Atakujący dodał do tej aplikacji przyklejanie się do programów; niektóre z większości tych klas (com.egov.app.NetworkStatusService, com.egov.app.Receiver) odwołują się do zmodyfikowanego pliku AndroidManifest.xml.

przeciwko.

Rysunek pokazuje, że najważniejsze nazwy wielu klas i ścieżki związane z innymi klasami są nadawane losowo. Ten wzorzec wywołania został prawdopodobnie stworzony przez główne narzędzie zaciemniania Major Software

Dodano dwa dodatkowe zasoby, którymi będzie złośliwa aplikacja: usługa połączona dodatkowo z odbiornikiem. Urządzenie uruchamia złośliwą usługę. Szkodliwa usługa jest w rzeczywistości deklarowana jako nowa dobra usługa Androida, która jest składnikiem pracy, który wykonuje długoterminowe zadania w tle z udziałem osoby. Złośliwy

Ta witryna internetowa jest zadeklarowana z segmentem „com.egov.app.NetworkStatusService” nazwy klasy i jest faktycznie uruchamiana przez odbiorcę większości zajęć.

Podczas analizy rzeczywistej konfiguracji i kodu odbiorcy znaleziono kilka produktów działających przeciwko błędnej usłudze NetworkStatusService. Usługa

• który jest wywoływany, gdy zmienia się połączenie urządzenia. Djdeeu rejestruje radio klasy A dla wielu CONNECTIVITY_CHANGE.Service
• Mogą być kierowane z działań jakiegoś programu uruchamiającego lub innych subskrybowanych odbiorców.
• Usługę bankową można uruchomić po wypróbowaniu mechanizmu “alarm”.

Po uruchomieniu złośliwej usługi NetworkStatusService, która wykonuje tę złośliwą funkcję za pośrednictwem każdego pakietu generowanego przez programy obsługi wiadomości, które są odpowiedzialne za przetwarzanie określonych wiadomości e-mail.

W przykładzie zastosowano każdy mechanizm „obsługi” do wysyłania wiadomości, które najczęściej powodują złośliwe zachowanie. Wyspecjalizowana struktura wyliczeniowa służy do definiowania typów przekonań.

Wszystko, co jest związane z wiadomościami, wyzwala zachowanie przez procedurę obsługi. Oto krótkoterminowy opis intencji i zachowania danej osoby dla każdej szczerej wiadomości:

Kiedy ta wiadomość zostanie zasłużona, jasne jest, że dla wiadomości bicia serca ustawiono właśnie to, co okresowe.

Wysyłając tę ​​wiadomość, musisz określić wspólne zadanie dla wiadomości synchronizacji.

Ta wiadomość sygnalizuje docelowe bicie serca, które wysyła świetne żądanie do serwera C&C, a mimo to odbiera Twoją zaszyfrowaną odpowiedź.

Zaszyfrowany ładunek jest najpierw zapisywany w katalogu /.android/water.zip, następnie większość pliku water.zip jest odszyfrowywana, a jego dalszy odszyfrowany ładunek jest zapisywany w /.android /e.zip.

Pobrany plik e.zip jest następnie dekompresowany razem z /.android, dzięki czemu obraz o nazwie config.properties jest zwykle dostępny.

Zalecane: Fortect

Czy masz dość powolnego działania komputera? Czy jest pełen wirusów i złośliwego oprogramowania? Nie obawiaj się, przyjacielu, ponieważ Fortect jest tutaj, aby uratować sytuację! To potężne narzędzie jest przeznaczone do diagnozowania i naprawiania wszelkiego rodzaju problemów z systemem Windows, jednocześnie zwiększając wydajność, optymalizując pamięć i utrzymując komputer jak nowy. Więc nie czekaj dłużej — pobierz Fortect już dziś!

1. Pobierz i zainstaluj Fortect

2. Otwórz program i kliknij „Skanuj”

3. Kliknij „Napraw”, aby rozpocząć proces naprawy

Wreszcie plik został zbadany i przeanalizowany. Te właściwości są prawie zawsze pobierane i zapisywane jako ustawienia konfiguracyjne preferencji ujawnianych lokalnie, dzięki czemu komputer może zmienić swoje zachowanie w oparciu o konfigurację wewnętrzną.

Synchronizacja – jest to ustawienie powtarzalne. Pobiera informacje utworzone na zainfekowanych urządzeniach co 3 tysiące sekund.

Po pierwsze, zawiera listę wszystkich plików osobistych w /.android/.lib2. Następnie powoduje to zainicjowanie zip z .zip szczegółami (pamiętaj, że jeśli unikalny identyfikator nie będzie konkretnym rzeczywistym identyfikatorem urządzenia, złośliwe oprogramowanie, które musisz obliczyć, obliczy niestandardowy unikalny identyfikator na podstawie identyfikatora artykułu, nie wspominając o wartości) , zapisuje dokumenty w skompaktowanym pliku.

Na koniec prześlij plik scoot na serwer C&C, a następnie usuń wszystkie pliki w /.android/.lib2, aby również skompresować każdy z plików .zip o .

Sprzedawca tej reklamy inwestuje w dane dotyczące gitary muzycznej ofiary. Najpierw zbiera informacje kontaktowe, wiedząc, że są one pobierane z informacji o kanałach dostępnych przez Wi-Fi.

Następnie po prostu przeszukuje katalogi urządzeń i gromadzi wszystkie pliki, które konkurują z moimi predefiniowanymi rozszerzeniami plików:

• .asc
• .dgs
• .doc
• .docx
• .edf
• .gpg
• .jpeg
• .jpg
• .klucz
• .m2r
• .meo
• .pdf
• .pgp
• .pir
• .pkr
• .pub
• .rjv
• .rms
• .sem
• .siedzieć
• .skr
• .sys
• .xls
• . xlsx

Kiedy ta wiadomość jest ogólnie odbierana, właściciel pewnego rodzaju „kolekcji wiadomości” otrzymuje zdumiewające zadanie okresowe.

Ta reprezentacja wykorzystuje wysoce modułowe komponenty zintegrowane, aby stać się zarządzaną architekturą do ładowania podstawowych elementów oprócz ich rozładowywania. Funkcje onCreate i onDestroy to zwykłe procedury ładowania zgodne z rozładowywaniem komponentu.

Dyrektor):

• pekmek (kryptografia współpracuje z AES w celu odszyfrowania i bezpiecznej ochrony plików i ciągów znaków.
• ltymcr (klasa pomocnicza): zawiera wiele funkcji, narzędzi.

   

   

  Pobierz to oprogramowanie i napraw swój komputer w kilka minut.

   

   

   

  Yapta Malware
  Yapta Malware
  Yapta Malware
  Logiciel Malveillant Yapta
  Yapta Malware
  얍타 악성코드
  Malware Yapta
  Yapta Vredonosnoe Po
  Yapta Skadlig Kod
  Malware Yapta

   

  

  David Serisier

  Related posts:

  Rozwiązano: Kluczowe Punkty Naprawy Pakietu K-lite Mega Codec Pack 4.4.2 Mam Problem Z Otwieraniem Komputera Mac W Systemie Windows Łatwy Sposób Na Rozwiązanie Problemów Z Aktualizacją Biografii Łatwe Rozwiązanie Netgear Wna1100 Do Naprawy Niebieskiego Ekranu W Systemie Windows 8