1. 概要
近期,通过koodous分析平台的APK拦截规则截获到Anubis家族持续在传播一些恶意Android木马威胁用户的隐私安全。
2. 样本概况
| 项 | 描述 |
|---|---|
| 应用名 | Android security |
| 包名 | tnbzgzykdy.nalryogycw.slsa |
| 文件大小 | 297.98 KB |
| MD5 | b1a49883e8f0be6ef9df8e52ccff5024 |
| 证书MD5 | e89b158e4bcf988ebd09eb83f5378e87 |
| 病毒家族 | Anubis |
| 报毒 | VT(22/57) |
| 发布时间 | 2023-08-28 00:55:06 UTC |
2.1 杀毒引擎扫描结果
报毒比 - 22/57
3. 风险行为分析
3.1 静态分析
3.1.1 样本出现时间
根据下面检索到样本的时间和样本最后的修改时间可以确定样本编译和上传发布时间是2023-08-28 00:55:06 UTC。
- VT样本上传时间2023-08-28 00:55:06 UTC
- 文件最后的修改时间2023-08-28 00:54:38
3.1.2 代码分析
| 风险组件 | 描述 |
|---|---|
| frvvkgp | 上传位置信息 |
3.1.2.1 风险行为
短信删除
上传发送的短信
打开目录
下载文件
删除文件或目录
开始屏幕远程共享
- 开始屏幕录制
- 上传截屏文件
停止屏幕远程共享
开始录音
前台录音
停止录音
键盘注入
打开指定页面、输入指定内容
上传位置信息
上传联系人信息
上传发送、接收、删除的短信
发送短信
通过感染设备发送指定内容到指定号码。
上传设备已安装应用列表
上传已获取权限
开启无障碍服务
申请权限
创建对话框弹窗
创建通知
发起特定通知
- 通知标题: 紧急消息
- 通知内容: 确认您的账户
申请使用通知访问权限
申请定位权限
通过拨号应用获取系统信息并上传
创建socket服务
停止socket服务
发送垃圾邮件
开启应用
终止键盘注入服务
上传键盘记录信息
开始远程命令执行
开始呼叫转移
结束呼叫转移
打开URL
打开浏览器页面
加密、解密key
上传网络定位经纬度
上传GPS定位经纬度
锁屏
4. 安全建议
- 不要使用小众APP。
- 下载应用认准各大应用商店或者去大厂APP官网进行下载。
- 关注安全厂商安全新闻,一旦发现被披露的木马APP出现在自己手机上,及时联系专业安全人员进行处理。
点击收藏 | 0
关注 | 1
打赏
