概述经过监测,我们截获了与未知家庭有关的欺诈 Android 应用传播事件详细调查发现,该家族主要使用开源 Telegram Android 源代码作为其核心功能模板该家族诱导用户通过各种策略下载并安装其应用程序,包括但不限于刷卡、投资推广和色情聊天,从而实施欺诈操作。
根据进一步的网络环境检测结果,有许多与家庭高度相似的活跃应用程序,进一步证实了这些应用程序确实属于同一欺诈家庭这个家庭不仅具有高度的欺诈性和一致性,而且具有完整的业务供应链基于上述特点,我们决定将欺诈家族命名为“”BOOMSLANG(树蟒)”。
技术分析在对我们获得的家庭样本进行追溯分析后,我们发现这个家庭最早开始 2022 年 9 月传播由于当时疫情等外部因素的影响,这个家庭在那里 2022 年 9 月至 2023 年 3 本月处于欺诈传播的初级阶段。
然而,随着社会形势的逐渐恢复,这个家庭开始大规模传播,并推出了许多不同类型的商业版本值得注意的是,这个家庭正在适应反欺诈措施 2023 年 7 每月首次进行变种,引入“Domain Over HTTPS(DoH)"技术。
随后,在 2023 年 9 月,家庭样本再次发生变化,增加了现有的自动化 App 具体采用了安全检测手段的抵抗力 NPManager 自带的 StringFrog 混淆技术,避免基于字符串提取的安全检测。
DoH(DNS over HTTPS)通过安全协议是一种安全协议 HTTPS 进行加密连接 DNS 分析请求和响应其主要目的是增加隐私和安全,防止隐私和安全 DNS 被窃听或篡改的请求接下来,我们将介绍家族的原始版本和介绍 DoH 深入分析技术版本。
样本概况样本标识·MD5 Hash: 731ace7a01349d8c103dc7fc23功能与行为1.登录界面:样本启动后,显示一个登录界面,需要输入邀请码进行登录2.聊天界面:登录成功后,用户将进入聊天界面。
3.恶意活动:样本主要通过聊天功能进行欺诈或其他类型的恶意行为分析细节样本基本面分析1.权限分析:使用 Incinerator 打开样本后,从生成的工具开始 Report 可以在信息中观察到,样本要求多个高风险权限。
2.动态检测结果:·包名和子目录问题:动态检测结果显示在 im.lpfupkaehn.messenger 包名下的 tgnet 子目录中,NetworkConfig.java 文件存在明显问题接下来,我们将进行详细的分析 im.lpfupkaehn.messenger 包名的具体表现和潜在风险。
代码相似度文件和目录结构tgnet 子目录:在 im.lpfupkaehn.messenger 在相应的目录下,有一个明确的目录 tgnet 子目录源码比对GitHub 搜索结果:使用目录中的代码 GitHub 搜索后,发现这部分代码和 Telegram Android 源代码高度相似。
代码相似性比较·im.lpfupkaehn.messenger 与 org.telegram.messenger例如,多种类的文件 AccountInstance 排除反编译因素后,显示为 100% 相同。
代码差异分析主要新部分基于样本 Telegram Android 源代码,主要有三个显著的新部分:1.依赖库:位置:主要集中在 com 目录下功能与调用:这些库基本上可以通过搜索找到调用,主要用于处理一些较小的功能。
示例:com.alibaba.fastjson 图书馆主要用于处理更新用户信息的协议UI 目录差异:对比:im.lpfupkaehn.ui 目录与 org.telegram.ui 与目录相比,前者有几个目录。
推测:这些新目录可能是为了满足定制 UI 加入需求tgnet 目录差异:对比:在 im.lpfupkaehn.tgnet 和 org.telegram.tgnet 对比目录,发现前者多了几份文件推测:这些新文件可用于实现特定的网络通信或功能。
详细分析新增文件在家庭样本中,特别值得注意的是,增加了以下文件:基本网络和文件操作:FCTokenRequestCallback: 可能与 Token 请求有关FileLoadOperation: 文件加载操作。
FileLoadOperationDelegate: 代理文件加载操作NetBean: 网络配置 BeanNetworkConfig: 网络配置ParamsUtil: 参数工具Telegram 后台通信扩展(TL 系列):。
TLApiModel: API 模型TLRPCZ: 可能与 RPC 通讯有关TLRPCBackup: 备份相关TLRPCBasic: 基础 RPC 功能TLRPCCall: 通话功能TLRPCCdn: CDN 相关。
TLRPCChats: 聊天相关TLRPCContacts: 联系人相关TLRPCFriendsHub: 好友中心TLRPCHotChannel: 热门频道TLRPCLogin: 登录相关TLRPCRedpacket: 红包功能。
TLRPCWallet: 钱包功能这些新的类文件主要涉及网络操作、文件处理和与 Telegram 背景通信的许多方面这进一步突出了这个家族的样本与原始样本相比 Telegram 定制和扩展代码网络行为分析报告
主要焦点:NetworkConfig.java基于自动化分析的结果,NetworkConfig.java 文件代码存在明显问题,本分析将重点关注文件网络配置更新机制环境区分:在线环境和内网环境在代码中区分。
只有标识是 1002 需要更新网络配置的在线环境这里有两个关键函数 initRemoteConnInfos 和 selecteRemoteConnInfo关键函数分析:initRemoteConnInfos: 主要负责接口的配置 https://*************.***-**********.********.***/************.*** 获取目标 IP 以及端口信息。
selecteRemoteConnInfo: 使用阿里游戏盾将目标放在目标上 IP 并将端口转换为代理 IP 和端口,实现实际隐藏 IP 以及端口的目的阿里游戏盾使用逻辑功能介绍:阿里游戏盾提供免疫 DDoS/CC 攻击弹性安全网络。
具体来说,它是基于提供的目标 IP 与端口生成动态变化的代理 IP 和端口挑战与影响:阿里游戏盾的弹性安全网络对网络行为分析和恶意程序网络请求拦截构成了严重挑战因为代理 IP 而且端口可以不断变化,这大大增加了网络跟踪和拦截的难度。
样本使用复杂的网络配置和第三方安全服务(阿里游戏盾)来隐藏其实际的网络行为,从而增加了分析和跟踪的难度这些特征进一步证明了恶意样本的高度专业和隐蔽性YunCeng.getProxyTcpByDomain 反编译代码如下:。
根据阿里游戏盾官方网站上旧版本的文档,getProxyTcpByDomain 函数的前四个参数如下:函数的后两个参数用于返回和输入目标 IP 与端口对应的代理 IP 和端口在进一步分析了上述代码后,我们发现返回的代理数据最终被传递给了 ConnectsManager。
我们注意到这是一个 native 函数在正常情况下,我们需要逆向分析so 为了获取相应的代码,文件然而,由于我们以前提到过样本代码和 Telegram Android 有很高的相似性,我们决定直接咨询 Telegram Android 分析源代码。
在此步骤中,返回 IP 设置地址和端口号 ConnectManager 的 datacenter 对象,然后重新启动握手过程,以建立新的连接该操作实现了样本与云网络通信服务器之间的切换到目前为止,恶意样本已经成功地通过了新的方式 IP 与端口和远程服务器建立了新的通信通道。
拦截方法:经过详细分析,我们完成了对主要样本网络要求逃逸拦截的审查样本巧妙地利用了预防措施 DDoS 服务,通过不断更换要求 IP 基于固定的传统基础,有效地避免了地址和端口 IP 请求拦截的保护手段为了完全阻断这个样本的网络要求,有必要通过静态和动态分析来找出样本是如何使用阿里游戏盾服务的,并相应地拦截相关的网络通信方式。
具体的拦截策略可集中在以下三个方面:1.拦截样本通过要求阿里游戏盾获得目标 IP 网络请求的地址和端口2.如果第一种拦截策略没有成功实施,则需要默认预设样本 IP 拦截端口具体来说,所有指向应该被拦截 ****.**.********.*** 网络请求。
3.在灰度测试阶段,如果前两种拦截策略未能成功,则应注意样本中预设的第三个默认情况 IP 地址,即 **.***.***.***这一切都指向这一点 IP 还应拦截网络请求这些网络请求巧妙地隐藏在代码中,需要动态和静态分析方法的综合应用来准确识别它们,这无疑增加了安全对抗的额外挑战和工作量。
家族变种分析继续跟踪这种恶意 APP 在这个过程中,我们发现了一个新的变种 MD5 哈希值为 61eea96bae6e53b6806d974cf3587df这个新样本做出了显著的变化:它不再依赖阿里游戏盾,而是转向使用七牛云 DoH(DNS over HTTPS)服务。
具体使用方法如下:在这个新的变种中,攻击者将 HOST 七牛云中的地址配置 DnsManager 的 dnsServer然后,该 DnsManager 负责进行 DNS 查询这一变化不仅表明攻击者正在逐渐熟悉和使用更先进的网络服务,而且还增加了分析和拦截其行为的复杂性。
在这种情况下,样本由自己控制 dnsserver 动态更换 IP 地址这种设置允许攻击者在后端使用类似阿里游戏盾的工具,并随机返回不同的代理 IP 地址,从而实现真实性 IP 隐藏地址如果 DNS 如果查询失败,样本将返回预设 IP 对抗分析的复杂性和端口进一步增加。
这种多层次的网络行为策略不仅增加了分析的难度,也为有效拦截创造了额外的挑战总结在对恶意样本的综合分析中,我们可以看到样本在多个层面上表现出复杂而隐蔽的行为特征:1.代码结构:大量借用样本 Telegram Android 多处定制和添加源代码,增加了分析的复杂性。
2.网络行为:早期版本主要使用阿里游戏盾 IP 动态更换端口,避免网络拦截新变种切换到使用七牛云 DoH 服务,进一步提高了其隐蔽性动态和静态分析的结合:由于样本使用多种方法来隐藏其网络行为和代码结构,因此需要使用动态和静态分析来充分了解其行为模式。
对抗措施:样品的有效拦截需要仔细分析所有通信路径和依赖库,并拦截这些特定路径和库更新和演变:样品具有较高的更新频率和多样性,需要不断关注其变体和更新综上所述,恶意样本表现出高度的复杂性和隐蔽性,需要综合各种分析方法,不断跟踪其变化,以制定有效的保护措施。
今天就分享到这里吧,德斯软件资讯是一个软件分享基地,其中包括红包软件有微信,钉钉,支付宝,陌陌,QQ,68,哈小聊,奈斯特惠,山楂树,优品盲盒,满易购物,智幸,知信,汇通至选,小小街,智云互享,KUKU好物,汇聚,火星严选,典易优选,腾城购,易点购,咪玩,惠趣购,火星严选,佑米,世纪购,亿讯,联信,尚客商城,小小街,米兰优选,淘淘,微信多开,微信分身等社交软件下载,软件自带功能有红包软件,红包辅助,埋雷辅助,单透,埋雷软件,牛牛辅助,牛牛外挂,尾数控制,机器人等一些红包强项外挂辅助软件功能免费下载使用。喜欢的请关注收藏,谢谢。