这个基于Web的远程访问木马(RAT)采用多阶段感染过程,从看似无害的滴管应用程序开始,该应用程序无声地升级特权并部署旨在建立持久监视和控制功能的二级有效载荷。
该恶意软件代表了移动威胁的演变,利用先进的规避技术,自动权限处理和复杂的反卸载机制来维护对受害者设备的长期访问。
GhostSpy的攻击向量通常涉及社会工程策略,将自己呈现为合法的应用程序更新或系统实用程序,以欺骗用户安装。
一旦建立,恶意软件利用Android的辅助功能和服务和设备管理员API来绕过安全限制,并在用户不知情的情况下授予自己广泛的权限。
Cyfirma分析师在持续的威胁监控活动中发现了这种高风险的Android恶意软件变体,并指出其监视功能和持久性机制的特别危险组合。
研究小组的分析显示,GhostSpy可以执行全面的数据盗窃,包括键盘记录,屏幕捕获,背景音频和视频录制,短信和通话记录提取,GPS位置跟踪和远程命令执行。
也许最令人担忧的是恶意软件能够绕过银行应用程序屏幕截图保护,使用骨架视图重建方法,从所谓的安全应用程序中获取完整的UI布局。
恶意软件的运营商基础设施表明巴西血统,多个有源的命令和控制服务器托管在不同位置,并支持多种语言,包括葡萄牙语,英语和西班牙语。
这个国际范围表明GhostSpy积极维护并分布在各个地区,主C2服务器位于cheltic.gstpainel.fun和其他端点在端口3000和4200上运行。
GhostSpy特别阴险的是其全面的设备妥协方法,将传统的RAT功能与现代移动特定攻击技术相结合。
恶意软件可以窃取银行凭证进行财务欺诈,即使在屏幕截图限制的应用程序中也捕获屏幕内容,并通过Accessibility Service滥用执行未经授权的金融交易,从而对个人隐私和财务安全构成严重威胁。
高级感染和特权升级机制
GhostSpy的感染机制在其多阶段部署策略中表现出显着的复杂性。
初始 dropper 应用程序包含一个关键方法,称为updateApp()这是有效载荷部署的触发因素。
此方法首先检查设备的canRequestPackageInstalls()权限,它决定应用程序是否可以在 Google Play 商店限制之外侧载 APK 文件。
如果未授予此权限,恶意软件将用户秘密重定向到MANAGE_UNKNOWN_APP_SOURCES设置页面,专门针对当前软件包请求安装权限。
获得必要的权限后,滴管执行copyApkFromAssets("update.apk")从其资产文件夹中提取捆绑的二级 APK 有效载荷,然后进行installApk()为执行。
安装过程使用与操作的Intentandroid.intent.action.VIEW针对通过 FileProvider 生成的内容 URI,确保安装 Activity 启动具有必要的 URI 访问权限。
被识别为“com.support.litework”的辅助有效载荷通过其自动许可授予机制展示了恶意软件最危险的功能。
因AllowPrims14_normal方法自动点击屏幕,通过模拟可能的按钮区域的触摸,在没有用户交互的情况下授予权限。
这种复杂的技术针对最新的Android版本,并通过所有必要的权限循环,尝试从45%到90%的屏幕高度,睡眠间隔,模仿人类行为,以降低检测风险。
补充这种自动化,getAutomaticallyPermission方法使用 AccessibilityNodeInfo 递归地遍历 UI 层次结构,以定位和与权限对话框按钮进行交互。
它专门针对 android.widget.Button 元素,其文本与各种语言的通用权限提示相匹配,包括“允许”、“使用应用程序和“Permitir”,自动单击这些按钮。performAction(AccessibilityNodeInfo.ACTION_CLICK). .
这种多语言方法展示了恶意软件的全球定位策略以及对Android在不同设备配置和语言设置中的许可模型的复杂理解。
发表评论
您还未登录,请先登录。
登录