Clicker木馬新家族中的Haken木馬是怎樣的

這篇文章將為大家詳細(xì)講解有關(guān)Clicker木馬新家族中的Haken木馬是怎樣的，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個(gè)參考，希望大家閱讀完這篇文章后對(duì)相關(guān)知識(shí)有一定的了解。

一、概述

Clicker木馬是廣泛的惡意程序，旨在提高網(wǎng)站訪問(wèn)率在線賺錢(qián)。它們通過(guò)單擊鏈接和其他交互式元素來(lái)模擬網(wǎng)頁(yè)上的用戶(hù)操作，實(shí)現(xiàn)無(wú)聲地模擬與廣告網(wǎng)站的交互，自動(dòng)訂閱付費(fèi)服務(wù)。該木馬是一個(gè)惡意模塊，它內(nèi)置于普通應(yīng)用程序中，例如字典，在線地圖，音頻播放器，條形碼掃描儀和其他軟件。

最近暗影實(shí)驗(yàn)室在Google Play上發(fā)現(xiàn)了一個(gè)新的Clicker惡意軟件家族Haken木馬。該應(yīng)用是一款提供位置方向服務(wù)的應(yīng)用。與利用不可見(jiàn)Web視圖的創(chuàng)建和加載來(lái)執(zhí)行惡意點(diǎn)擊功能的Clicker木馬和Joker木馬不同,Haken木馬通過(guò)將本機(jī)代碼注入Facebook和Google廣告SDK的庫(kù)中來(lái)實(shí)現(xiàn)模擬用戶(hù)點(diǎn)擊廣告功能。通過(guò)點(diǎn)擊廣告來(lái)提高網(wǎng)站訪問(wèn)量賺取錢(qián)財(cái)。

圖1-1Google Play上應(yīng)用信息

用戶(hù)抱怨該應(yīng)用會(huì)彈廣告，建議謹(jǐn)慎下載。

圖1-2 用戶(hù)對(duì)該應(yīng)用的評(píng)論

二、技術(shù)分析

該程序的第一個(gè)入口是BaseReceiver廣播接收器。其中注冊(cè)了許多action，使該廣播很容易被觸發(fā)。

圖2-1 注冊(cè)BaseReceiver廣播

在該接收器內(nèi)加載了lib庫(kù)文件。通過(guò)在native層的startTicks函數(shù)調(diào)用本地com / google / android / gms / internal / JHandler”類(lèi)中的“clm”方式。

圖2-2 加載庫(kù)文件反射調(diào)用本地方法

此方法中注冊(cè)了兩個(gè)工作線程和一個(gè)計(jì)時(shí)器。其中wdt線程與C＆C服務(wù)器通信獲取最新配置信息。而w線程由定時(shí)器觸發(fā)用于檢查配置信息并將代碼注入到廣告SDK（如Google的AdMob和Facebook）的與廣告相關(guān)的Activity類(lèi)中。

圖2-3 注冊(cè)兩個(gè)工作線程

工作線程一：

在wdt線程中與服務(wù)器交互獲取最新配置信息。服務(wù)器地址被編碼：http://13.***.34.16。

圖2-4 服務(wù)器交互

服務(wù)器下發(fā)的配置信息，其中包括用于更新服務(wù)器交互的地址。

圖2-5 從服務(wù)器獲取配置信息

工作線程二：

w線程在設(shè)備已聯(lián)網(wǎng)且應(yīng)用已定時(shí)啟動(dòng)60000ms的情況下，啟動(dòng)活動(dòng)。通過(guò)生成在1-4間的隨機(jī)數(shù)匹配到啟動(dòng)哪個(gè)活動(dòng)，這四個(gè)活動(dòng)用于將代碼注入到Facebook和Google廣告類(lèi)中，實(shí)現(xiàn)加載廣告并模擬點(diǎn)擊廣告。

圖2-6 注入Facebook和Google

圖2-7 加載廣告

模擬用戶(hù)點(diǎn)擊，點(diǎn)擊從廣告SDK中接收到的廣告，這些功能都是通過(guò)反射機(jī)制實(shí)現(xiàn)的。

圖2-8點(diǎn)擊從廣告SDK中接收到的廣告

服務(wù)器后臺(tái)：

我們通過(guò)于應(yīng)用與服務(wù)器交互的地址進(jìn)入到該應(yīng)用的服務(wù)器后臺(tái)，發(fā)現(xiàn)該應(yīng)用的開(kāi)發(fā)者使用XAMPP平臺(tái)搭建了個(gè)人網(wǎng)站和服務(wù)器。

圖2-9 Haken木馬個(gè)人網(wǎng)站

服務(wù)器后臺(tái)包含2個(gè)js文件。Js文件用于代碼的注入實(shí)現(xiàn)模擬點(diǎn)擊功能。

圖2-10 Haken木馬服務(wù)器后臺(tái)

三、樣本信息

四、情報(bào)擴(kuò)展

“Joker”惡意軟件家族最早于2019年9月在Google Play上被發(fā)現(xiàn)，暗影實(shí)驗(yàn)室在2019年9月28號(hào)通過(guò)反間諜之旅—模擬訂閱高級(jí)服務(wù)一文向用戶(hù)發(fā)出風(fēng)險(xiǎn)預(yù)示。

該惡意軟件被用來(lái)向用戶(hù)訂閱高級(jí)服務(wù)，無(wú)聲地模擬與廣告網(wǎng)站的自動(dòng)交互包括模擬點(diǎn)擊和輸入高級(jí)服務(wù)訂閱的授權(quán)代碼。在過(guò)去幾個(gè)月中Joker不斷出現(xiàn)在Google Play商店中。

我們最近在Google Play上發(fā)現(xiàn)了另外四個(gè)Joker樣本，已下載130,000+次。以下為樣本信息。

關(guān)于Clicker木馬新家族中的Haken木馬是怎樣的就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，可以學(xué)到更多知識(shí)。如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到。