找回密码
 立即注册
  • QQ空间
  • 回复
  • 收藏
只要是做生意,都得讲究价值规律,黑市也不例外。某款产品要是搞打折促销,群众们必然蜂拥而至——要是免费大派送,那一传十十传百的速度又怎是门庭若市可形容!
安卓远程监控脚本木马工具SpyNote最近爆出免费发放了,虽然还没有被大规模的使用,但是黑客们的速度还是可以的,初入门道的黑客也可以下载这个远程植入你的手机了,还是那句话,安卓的手机们你们多点心眼吧。
最近Palo Alto Networks发现了一款面向大众免费派发的RAT(远程访问木马),名为SpyNote——这是个可对Android系统实现远程监听的工具,“和OmniRat和DroidJak很相似”。对那些技术不娴熟的脚本小子而言,想必又是个不可多得的好东西了。
2016080315333892.png
SpyNote控制面板
SpyNote能做什么?
SpyNote实际上是用来创建Android恶意程序的工具,最近在不少恶意程序论坛传得特别火。它有一些相当吸引人的特性:
· 不需要获取系统的Root权限;
· 对通话进行监听;
· 窃取联系人和信息数据;
· 通过麦克风记录音;
· 恶意拨打电话;
· 安装恶意应用;
· 获取手机的IMEI码、WiFi MAC地址、无线网络运营商细节;
· 获取设备最新的GPS地理位置信息;
· 控制摄像头
听起来真是不错啊,都不需要Android系统做Root操作,真这么神?当然了,还是需要手机用户自己给予SpyNote这些权限才行,包括编辑短信、访问通话记录、联系人,以及修改、删除SD内容的权限——其实绝大部分用户看到这些权限请求都会毫不犹豫的点“下一步”或“允许”。
行为分析
Palo Alto对发现的SkyNote恶意程序样本进行了分析。YouTube上先前就已经有了Sky Note v2的使用视频——Palo Alto分析的恶意程序应该是完全按照视频教程来做的。相比教程,该恶意程序程序除了改动图标,所用的端口一模一样。
在进行这款SpyNote恶意程序的安装过后,程序首先会将自己的图标从手机上移除。另外,该应用并没有采用任何混淆机制。它还会与IP地址为141.255.147.193的C&C服务器进行TCP通讯,端口号2222,如下图所示。
用Cerbero profiler查看Dalvik字节码
SkyNote开启一个Socket连接
如上图所示,SpyNote在此Socket连接中,采用硬编码的SERVER_IP和SERVER_PORT值。不过用Android分析工具Androguard就可以做个extractor。
用上面的spynote.C2.py脚本对APK文件中的这些值进行解析,可得出下面这些代码。



发表评论
您需要登录后才可以回帖 登录 | 立即注册

9 个回复

倒序浏览
这个东西还是不错呢  很喜欢

回复 使用道具 举报
sdwsjjlgh 2018-3-19 11:17:29
板凳
提示: 作者被禁止或删除 内容自动屏蔽
回复 使用道具 举报
shenz2018 2018-3-23 18:12:09
地板
提示: 作者被禁止或删除 内容自动屏蔽
回复 使用道具 举报
沙发=抢沙发支持黑客啦论坛!沙发=抢沙发支持黑客啦论坛!

回复 使用道具 举报
牛逼了

回复 使用道具 举报
感谢楼主,支持黑客啦论坛!感谢楼主,支持黑客啦论坛!感谢楼主,支持黑客啦论坛!

回复 使用道具 举报
支持黑客论坛啦论坛哈哈!

既然已成既然,何必再说何必。
回复 使用道具 举报
支持黑客论坛啦论坛哈哈!

回复 使用道具 举报
支持黑客论坛啦论坛哈哈!

回复 使用道具 举报
展开