Android平台下的第一个Tor木马

android1-220x150

通常来说,Android木马作者一般都是以Windows下的恶意软件功能作为模板对Android木马进行功能开发。近期,另一个Windows下的木马技术也在Android平台实现了:这是我们第一次检测到一款将.onion伪区域(pseudo zone)的域名作为C&C服务器的Android木马。该木马使用由代理服务器构成的匿名Tor网络进行通信,这样就是使木马操纵者也变成匿名的了,因为Tor允许被访问的站点在.onion域名中“匿名”显示,而只有Tor可以访问这种网站。

13935798106055

该木马名为Backdoor.AndroidOS.Torec.a,是被广泛使用的Tor客户端Orbot的一个变种,木马作者将其自己的代码添加到这款客户端中,但并没有冒充这款客户端,只是为了使用客户端中的部分功能。

13935798128884该木马可以从C&C服务器接收以下命令:

1393579925553

即:

  - 开始/停止拦截接收到的SMS短信
  - 开始/停止偷取发出去的SMS短信
  - 执行一次USSD请求
  - 将电话数据发往C&C服务器(电话号、国藉、IMEI、手机model,系统版本等)
  - 将电话中安装的app列表发往C&C服务器
  - 向命令中指定的号码发送一条SMS短信

使用Tor网络有利有弊。有利的方面是几乎没有可能使C&C服务器关闭,但最主要的弊端是需要编写额外的代码,也就是说Backdoor.AndroidOS.Torec.a要想使用Tor,比起只实现它自己的功能,需要编写的代码要多得多。

Android平台下的第一个Tor木马:等您发表观点!

发表评论


快捷键:Ctrl+Enter