Clicker木馬新家族中的Haken木馬是怎樣的

這篇文章將為大家詳細(xì)講解有關(guān)Clicker木馬新家族中的Haken木馬是怎樣的，文章內(nèi)容質(zhì)量較高，因此小編分享給大家做個參考，希望大家閱讀完這篇文章后對相關(guān)知識有一定的了解。

創(chuàng)新互聯(lián)專業(yè)提供成都主機托管四川主機托管成都服務(wù)器托管四川服務(wù)器托管，支持按月付款！我們的承諾：貴族品質(zhì)、平民價格，機房位于中國電信/網(wǎng)通/移動機房，成都服務(wù)器托管服務(wù)有保障！

一、概述

Clicker木馬是廣泛的惡意程序，旨在提高網(wǎng)站訪問率在線賺錢。它們通過單擊鏈接和其他交互式元素來模擬網(wǎng)頁上的用戶操作，實現(xiàn)無聲地模擬與廣告網(wǎng)站的交互，自動訂閱付費服務(wù)。該木馬是一個惡意模塊，它內(nèi)置于普通應(yīng)用程序中，例如字典，在線地圖，音頻播放器，條形碼掃描儀和其他軟件。

最近暗影實驗室在Google Play上發(fā)現(xiàn)了一個新的Clicker惡意軟件家族Haken木馬。該應(yīng)用是一款提供位置方向服務(wù)的應(yīng)用。與利用不可見Web視圖的創(chuàng)建和加載來執(zhí)行惡意點擊功能的Clicker木馬和Joker木馬不同,Haken木馬通過將本機代碼注入Facebook和Google廣告SDK的庫中來實現(xiàn)模擬用戶點擊廣告功能。通過點擊廣告來提高網(wǎng)站訪問量賺取錢財。

圖1-1Google Play上應(yīng)用信息

用戶抱怨該應(yīng)用會彈廣告，建議謹(jǐn)慎下載。

圖1-2 用戶對該應(yīng)用的評論

二、技術(shù)分析

該程序的第一個入口是BaseReceiver廣播接收器。其中注冊了許多action，使該廣播很容易被觸發(fā)。

圖2-1 注冊BaseReceiver廣播

在該接收器內(nèi)加載了lib庫文件。通過在native層的startTicks函數(shù)調(diào)用本地com / google / android / gms / internal / JHandler”類中的“clm”方式。

圖2-2 加載庫文件反射調(diào)用本地方法

此方法中注冊了兩個工作線程和一個計時器。其中wdt線程與C＆C服務(wù)器通信獲取最新配置信息。而w線程由定時器觸發(fā)用于檢查配置信息并將代碼注入到廣告SDK（如Google的AdMob和Facebook）的與廣告相關(guān)的Activity類中。

圖2-3 注冊兩個工作線程

工作線程一：

在wdt線程中與服務(wù)器交互獲取最新配置信息。服務(wù)器地址被編碼：http://13.***.34.16。

圖2-4 服務(wù)器交互

服務(wù)器下發(fā)的配置信息，其中包括用于更新服務(wù)器交互的地址。

圖2-5 從服務(wù)器獲取配置信息

工作線程二：

w線程在設(shè)備已聯(lián)網(wǎng)且應(yīng)用已定時啟動60000ms的情況下，啟動活動。通過生成在1-4間的隨機數(shù)匹配到啟動哪個活動，這四個活動用于將代碼注入到Facebook和Google廣告類中，實現(xiàn)加載廣告并模擬點擊廣告。

圖2-6 注入Facebook和Google

圖2-7 加載廣告

模擬用戶點擊，點擊從廣告SDK中接收到的廣告，這些功能都是通過反射機制實現(xiàn)的。

圖2-8點擊從廣告SDK中接收到的廣告

服務(wù)器后臺：

我們通過于應(yīng)用與服務(wù)器交互的地址進(jìn)入到該應(yīng)用的服務(wù)器后臺，發(fā)現(xiàn)該應(yīng)用的開發(fā)者使用XAMPP平臺搭建了個人網(wǎng)站和服務(wù)器。

圖2-9 Haken木馬個人網(wǎng)站

服務(wù)器后臺包含2個js文件。Js文件用于代碼的注入實現(xiàn)模擬點擊功能。

圖2-10 Haken木馬服務(wù)器后臺

三、樣本信息

應(yīng)用名	包名	Sha256
Compass	com.haken.compass	30bf493c79824a255f9b56db74a04e711a59257802f215187faffae9c6c2f8dc
Qrcode	com.haken.qrcode	62d192ff53a851855ac349ee9e6b71c1dee8fb6ed00502ff3bf00b3d367f9f38
Coloring Book	com.faber.kids.coloring	381620b5fc7c3a2d73e0135c6b4ebd91e117882f804a4794f3a583b3b0c19bc5
Fruits Coloring Book	com.vimotech.fruits.coloring.book	f4da643b2b9a310fdc1cc7a3cbaee83e106a0d654119fddc608a4***7c5552a3
Soccer Coloring Book	com.vimotech.soccer.coloring.book	a4295a2120fc6b75b6a86a55e8c6b380f0dfede3b9824fe5323e139d3bee6f5c
Fruit Helix Jump	mobi.game.fruit.jump.tower	e811f04491b9a7859602f8fad9165d1df7127696cc03418ffb5c8ca0914c64da
Number Shooter	mobi.game.ball.number.shooter	d3f13dd1d35c604f26fecf7cb8b871a28aa8dab343c2488d748a35b0fa28349a

四、情報擴(kuò)展

“Joker”惡意軟件家族最早于2019年9月在Google Play上被發(fā)現(xiàn)，暗影實驗室在2019年9月28號通過反間諜之旅—模擬訂閱高級服務(wù)一文向用戶發(fā)出風(fēng)險預(yù)示。

該惡意軟件被用來向用戶訂閱高級服務(wù)，無聲地模擬與廣告網(wǎng)站的自動交互包括模擬點擊和輸入高級服務(wù)訂閱的授權(quán)代碼。在過去幾個月中Joker不斷出現(xiàn)在Google Play商店中。

我們最近在Google Play上發(fā)現(xiàn)了另外四個Joker樣本，已下載130,000+次。以下為樣本信息。

應(yīng)用名	Sha256
com.app.reyflow.phote	08f53bbb959132d4769c4cb7ea6023bae557dd841786643ae3d297e280c2ae08
com.race.mely.wpaper	44102fc646501f1785dcadd591092a81365b86de5c83949c75c380ab8111e4e8
com.landscape.camera.plus	9c713db272ee6cc507863ed73d8017d07bea5f1414d231cf0c9788e6ca4ff769
com.vailsmsplus	1194433043679ef2f324592220dcd6a146b28689c15582f2d3f5f38ce950d2a8

關(guān)于Clicker木馬新家族中的Haken木馬是怎樣的就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。

當(dāng)前名稱：Clicker木馬新家族中的Haken木馬是怎樣的
路徑分享：http://bm7419.com/article16/phddgg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供軟件開發(fā)、做網(wǎng)站、自適應(yīng)網(wǎng)站、電子商務(wù)、網(wǎng)站營銷、建站公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)