當(dāng)前位置：首頁(yè) > 运维知识 > Android >内容正文

Android

关于“WireX Botnet”事件Android样本分析报告

發(fā)布時(shí)間：2025/3/15 Android 25 豆豆

生活随笔收集整理的這篇文章主要介紹了关于“WireX Botnet”事件Android样本分析报告小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

WireX家族病毒基本上都會(huì)在內(nèi)部硬編碼存放兩個(gè)URL地址（部分變種的URL經(jīng)過(guò)加密），變種A在內(nèi)部硬編碼了如下兩個(gè)URL

http://u.*******.store/?utm_source=tfikztteuic

http://g.*******.store/?utm_source=tfikztteuic

這些URL地址是病毒的C&C Server的地址，用于返回要攻擊的網(wǎng)站的信息，不同之處在于，對(duì)這兩個(gè)URL返回的信息，處理方式不同，執(zhí)行的惡意行為也不同。

UDP Flood攻擊

對(duì)于以u(píng)開頭的URL地址，比如http://u.*******.store/?utm_source=tfikztteuic（實(shí)際測(cè)試不能正常返回?cái)?shù)據(jù)，以下是根據(jù)代碼邏輯進(jìn)行描述的），返回?cái)?shù)據(jù)分為兩部分，一個(gè)要攻擊的主機(jī)地址，一個(gè)是端口，中間使用字符串“snewxwri””分割，代碼中對(duì)返回?cái)?shù)據(jù)處理如下：

獲得主機(jī)地址和端口號(hào)之后，會(huì)創(chuàng)建50個(gè)線程，每個(gè)線程中都會(huì)連接該主機(jī)和端口，開啟socket之后，使用udp協(xié)議發(fā)送隨機(jī)數(shù)據(jù)，每次回發(fā)送512個(gè)字節(jié)的數(shù)據(jù)，一個(gè)線程中一共會(huì)發(fā)送 10000000 (一千萬(wàn))次，也就是 10000000512=5120000000 字節(jié)的數(shù)據(jù)，因?yàn)橐还矊?shí)現(xiàn)了創(chuàng)建了50個(gè)線程，所以，理論上會(huì)發(fā)送10000000512*50=256000000000（2560億）字節(jié)，實(shí)現(xiàn)代碼如下所示：

Deceptive Access Attack

對(duì)于以g開頭的URL地址，比如 http://g.*******.store/?utm_source=tfikztteuic，返回?cái)?shù)據(jù)分為3部分，分別是訪問(wèn)要攻擊的網(wǎng)站的URL、UserAgent和Referer，使用硬編碼的字符串（比如snewxwri ）進(jìn)行分割，代碼中對(duì)返回?cái)?shù)據(jù)處理如下：

獲得要攻擊網(wǎng)站用到的URL、UserAgent和Referer后，會(huì)創(chuàng)建20個(gè)Webview，然后使用每個(gè)WebView訪問(wèn)要攻擊的網(wǎng)站，代碼實(shí)現(xiàn)如下：

Deceptive Click Attack

變種B內(nèi)置了2個(gè)URL地址，如下：

http://ww68.c.********.us/?utm_source=tfikztteuic

http://ww68.d.********.us/?utm_source=tfikztteuic

請(qǐng)求這兩個(gè)URL返回的數(shù)據(jù)是類似的，都是在HTML的title中設(shè)置了一段內(nèi)容，這段內(nèi)容使用一個(gè)硬編碼的字符串（比如”eindoejy）分隔成3或者4部分，前3部分都是一樣的，一個(gè)URL，一段JS代碼，一個(gè)UserAgent，后面可能還有一個(gè)字段，猜測(cè)為國(guó)家名字縮寫，該樣本中為CN（代表中國(guó)？）。請(qǐng)求你的地址和返回的數(shù)據(jù)，類似下圖：

該病毒對(duì)這些數(shù)據(jù)的處理方式是，使用WebView加載返回URL，然后在頁(yè)面加載完成后，執(zhí)行那段JS代碼，JS代碼的功能是從頁(yè)面中所有的URL link（通過(guò)查找html的a標(biāo)簽獲得）中，隨機(jī)挑選一個(gè)，模擬鼠標(biāo)事件進(jìn)行點(diǎn)擊，實(shí)現(xiàn)代碼如下：

實(shí)現(xiàn)模擬鼠標(biāo)點(diǎn)擊JS代碼如下：

Attack Controller

上述幾種攻擊的實(shí)現(xiàn)都是位于某個(gè)Android Service中，那么這幾種攻擊是怎么啟動(dòng)的呢？通過(guò)逆向分析APK得知, 該APK注冊(cè)了監(jiān)聽某些事件的Broadcast Receiver，比如network connectivity change、device admin enabled等，在這些Receiver中，會(huì)啟動(dòng)Attack Controller這個(gè)Service， Attack Controller負(fù)責(zé)啟動(dòng)各種Attack，代碼實(shí)現(xiàn)如下：

不同的變種，實(shí)現(xiàn)方式有些差別，攻擊的強(qiáng)度也又有所差別，這個(gè)變種中，每隔55秒都會(huì)重啟一次攻擊。

原文地址：?http://blogs.360.cn/blog/analysis_of_wirex_botnet/

總結(jié)

以上是生活随笔為你收集整理的关于“WireX Botnet”事件Android样本分析报告的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇：生成对抗网络(GAN)相比传统训练方法有
下一篇：分析Android银行木马GM Bot的