要是是做买卖,都得注重经济规律,黑市交易都不除外。一款商品如果搞打折优惠,人民群众们必定纷至沓来——如果完全免费大配送,那一传十十传百的速率又怎是门可罗雀可描述!

安卓系统实时监控脚本制作木马工具SpyNote近期曝出完全免费派发了,尽管都还没被规模性的应用,可是网络黑客们的速率還是能够 的,初新手入门道的网络黑客也可以下载这一远程控制嵌入你的手机了,還是这句话,安卓系统的手机上们大家多一点心眼儿吧。

近期Palo Alto Networks发觉了一款朝向大家完全免费发放的RAT(远程登录木马病毒),名叫SpyNote——它是个可对Android系统软件完成远程控制监视的专用工具,“和OmniRat和DroidJak很类似”。对这些技术性不熟练的脚本小子来讲,想来也是个难能可贵的好产品了。

Android木马工具SpyNote免费发放 远程监听就是这么简单 远程监听 SpyNote 木马工具 Android 手机安全  第1张

SpyNote操作面板

SpyNote能干什么?

SpyNote事实上是用于建立Android恶意程序的专用工具,近期在许多恶意程序社区论坛传得尤其火。它有一些非常吸引人的特点:

· 不用获得系统软件的Root权限;

· 对语音通话开展监视;

· 盗取手机联系人和信息数据信息;

· 根据话筒纪录音;

· 故意拨电话;

· 安裝故意运用;

· 获得手机上的IMEI码、WiFi MAC地址、wifi网络营运商关键点;

· 获得机器设备全新的GPS所在位置信息;

· 操纵监控摄像头

听起来简直不错啊,都不用Android系统软件做Root实际操作,真那么神?当然,還是必须移动用户自身给与SpyNote这种权限才行,包含编写短消息、浏览通讯记录、手机联系人,及其改动、删掉SD內容的权限——实际上绝大多数客户见到这种权限要求都是会果断的点“下一步”或“容许”。

行为分析

Palo Alto对发觉的SkyNote恶意程序样版开展了剖析。YouTube上此前就早已拥有Sky Note v2的应用视頻——Palo Alto剖析的恶意程序应该是彻底依照教程视频来做的。对比实例教程,该恶意程序程序流程除开修改标志,常用的端口号一模一样。

Android木马工具SpyNote免费发放 远程监听就是这么简单 远程监听 SpyNote 木马工具 Android 手机安全  第2张

在开展这个SpyNote恶意程序的安裝之后,程序流程最先会将自身的标志从手机清除。此外,该运用并沒有选用一切搞混体制。它还会继续与IP地址为141.255.147.193的C&C服务器虚拟机TCP通信,服务器端口2222,如下图所显示。

Android木马工具SpyNote免费发放 远程监听就是这么简单 远程监听 SpyNote 木马工具 Android 手机安全  第3张

用Cerbero profiler查询Dalvik字节码

Android木马工具SpyNote免费发放 远程监听就是这么简单 远程监听 SpyNote 木马工具 Android 手机安全  第4张

SkyNote打开一个Socket联接

如圖所显示,SpyNote在这里Socket联接中,选用硬编码的SERVER_IP和SERVER_PORT值。但是用Android分析工具Androguard就可以做下extractor。

Android木马工具SpyNote免费发放 远程监听就是这么简单 远程监听 SpyNote 木马工具 Android 手机安全  第5张

用上边的spynote.C2.py脚本制作对APK文档中的这种值开展分析,可得到下边这种编码。


复制代码编码以下: </p> <p>#!/usr/bin/python
import sys
from sys import argv
from androguard.core.bytecodes import apk
from androguard.core.bytecodes import dvm

#---------------------------------------------------
# _log : Prints out logs for debug purposes
#---------------------------------------------------
def _log(s):
print(s)

if __name__ == "__main__":
if (len(sys.argv) < 2):
_log("[ ] Usage: %s [Path_to_apk]" % sys.argv[0])
sys.exit(0)
else:
a = apk.APK(argv[1])
d = dvm.DalvikVMFormat(a.get_dex())
for cls in d.get_classes():
#if 'Ldell/scream/application/MainActivity;'.lower() in cls.get_name().lower():
if 'dell/scream/application/MainActivity;'.lower() in cls.get_name().lower():
c2 = ""
port = ""
string = None
for method in cls.get_methods():
if method.name == '<init>':
for inst in method.get_instructions():
if inst.get_name() == 'const-string':
string = inst.get_output().split(',')[-1].strip(" '")
if inst.get_name() == 'iput-object':
if "SERVER_IP" in inst.get_output():
c2 = string
if "PORT" in inst.get_output():
port = string
if c2 and port:
break
server = ""
if port:
server = "{0}:{1}".format(c2, str(port))
else:
server = c2
_log('C&C: [ %s ]' % server)</p>


虽然如今SpyNote好像还并沒有规模性被网络黑客们运用,但即然现如今所有人都能够一键下载到SpyNote了 ,其普遍运用也许也仅仅时间问题。

還是必须劝诫Android客户,不必随便安裝来路不明的运用,尽管这一经验教训早已讲过无数次了,更何况对Android那样的电脑操作系统,就算是中华人民看不到摸不到的Google Play Store都犹存许多恶意程序。用Android系统软件的同学们還是要当心再当心!