当前位置: 移动技术网 > 网络运营>安全>手机安全 > Android木马工具SpyNote免费发放 远程监听就是这么简单

Android木马工具SpyNote免费发放 远程监听就是这么简单

2018年02月27日  | 移动技术网网络运营  | 我要评论

只要是做生意,都得讲究价值规律,黑市也不例外。某款产品要是搞打折促销,群众们必然蜂拥而至——要是免费大派送,那一传十十传百的速度又怎是门庭若市可形容!

安卓远程监控脚本木马工具spynote最近爆出免费发放了,虽然还没有被大规模的使用,但是黑客们的速度还是可以的,初入门道的黑客也可以下载这个远程植入你的手机了,还是那句话,安卓的手机们你们多点心眼吧。

最近palo alto networks发现了一款面向大众免费派发的rat(远程访问木马),名为spynote——这是个可对android系统实现远程监听的工具,“和omnirat和droidjak很相似”。对那些技术不娴熟的脚本小子而言,想必又是个不可多得的好东西了。

image1.png

spynote控制面板

spynote能做什么?

spynote实际上是用来创建android恶意程序的工具,最近在不少恶意程序论坛传得特别火。它有一些相当吸引人的特性:

· 不需要获取系统的root权限;

· 对通话进行监听;

· 窃取联系人和信息数据;

· 通过麦克风记录音;

· 恶意拨打电话;

· 安装恶意应用;

· 获取手机的imei码、wifi mac地址、无线网络运营商细节;

· 获取设备最新的gps地理位置信息;

· 控制摄像头

听起来真是不错啊,都不需要android系统做root操作,真这么神?当然了,还是需要手机用户自己给予spynote这些权限才行,包括编辑短信、访问通话记录、联系人,以及修改、删除sd内容的权限——其实绝大部分用户看到这些权限请求都会毫不犹豫的点“下一步”或“允许”。

行为分析

palo alto对发现的skynote恶意程序样本进行了分析。youtube上先前就已经有了sky note v2的使用视频——palo alto分析的恶意程序应该是完全按照视频教程来做的。相比教程,该恶意程序程序除了改动图标,所用的端口一模一样。

image2 (1).png

在进行这款spynote恶意程序的安装过后,程序首先会将自己的图标从手机上移除。另外,该应用并没有采用任何混淆机制。它还会与ip地址为141.255.147.193的c&c服务器进行tcp通讯,端口号2222,如下图所示。

image3.png

用cerbero profiler查看dalvik字节码

image4.png

skynote开启一个socket连接

如上图所示,spynote在此socket连接中,采用硬编码的server_ip和server_port值。不过用android分析工具androguard就可以做个extractor。

image5.png

用上面的spynote.c2.py脚本对apk文件中的这些值进行解析,可得出下面这些代码。


复制代码
代码如下:
</p> <p>#!/usr/bin/python
import sys
from sys import argv
from androguard.core.bytecodes import apk
from androguard.core.bytecodes import dvm

#---------------------------------------------------
# _log : prints out logs for debug purposes
#---------------------------------------------------
def _log(s):
print(s)

if __name__ == "__main__":
if (len(sys.argv) < 2):
_log("[+] usage: %s [path_to_apk]" % sys.argv[0])
sys.exit(0)
else:
a = apk.apk(argv[1])
d = dvm.dalvikvmformat(a.get_dex())
for cls in d.get_classes():
#if 'ldell/scream/application/mainactivity;'.lower() in cls.get_name().lower():
if 'dell/scream/application/mainactivity;'.lower() in cls.get_name().lower():
c2 = ""
port = ""
string = none
for method in cls.get_methods():
if method.name == '<init>':
for inst in method.get_instructions():
if inst.get_name() == 'const-string':
string = inst.get_output().split(',')[-1].strip(" '")
if inst.get_name() == 'iput-object':
if "server_ip" in inst.get_output():
c2 = string
if "port" in inst.get_output():
port = string
if c2 and port:
break
server = ""
if port:
server = "{0}:{1}".format(c2, str(port))
else:
server = c2
_log('c&c: [ %s ]' % server)</p>



虽说现在spynote似乎还并没有大规模被黑客们利用,但既然如今任何人都可以免费下载到spynote了 ,其广泛利用或许也只是时间问题。


还是需要告诫android用户,不要随意安装来源不明的应用,虽然这个教训已经说了千百次了,况且对android这样的操作系统,就算是中国人民看不见摸不着的google play store都尚存不少恶意程序。用android系统的同学还是要小心再小心!











                    

                        

                            
                        

                    

                    


                    
                    

                        
    
                            
  • 
                                
                            
    • 
                        

                    


                    
                    

                    

                        
您可能感兴趣的文章:

                        
                    

                    

                        如对本文有疑问,请在下面进行留言讨论,广大热心网友会与你互动!!
                        点击进行留言回复
                    

                

                 
                

                    
相关文章:

                    
                

               
                       
                             

                

                    
                    

                        
                        
                        

                        

                            

                                
                                    
                                
                                 
                                    
                                
                            

                            

                                验证码:
                                
                                    
                                    
                                    
                                
                            

                        

                        
                    

                    
                    

                        
                        
                        
                    

                

            

        

        
        
 
            

                

                    
                    

                    
                


                

                    

                        

                            
最近更新的文章

                            

                                
                            

                        

                    

                


                

                    
                    

                        
                    

                


                

                

                    

                        

                            
大家感兴趣的文章

                            

                                
                            

                        

                    

                

                

                    
                    

                        
                    

                


            

        

    



 


 
 

     
    

        

移动技术网