【最新】 移动端C#病毒“东山再起”,利用知名应用通信实现远控隐私

安全工具        2018-01-05 09:04   来源:安全客   作者:安全客
伴随着手机的全面普及和移动互联网的发展,以移动终端为平台的攻防对抗也愈演愈烈。针对日益升级的恶意代码检测技术,恶意攻击者的反查杀手段相应也在不断变化应对。早在2015年

3-2定稿.jpg

伴随着手机的全面普及和移动互联网的发展,以移动终端为平台的攻防对抗也愈演愈烈。针对日益升级的恶意代码检测技术,恶意攻击者的反查杀手段相应也在不断变化应对。早在2015年,安天移动安全就发现一例利用C#编写以逃避查杀的恶意代码,并对其进行了技术分析。

近日,安天移动安全联合猎豹移动安全实验室又捕获一例类似的病毒,该病毒使用MonoDroid框架进行开发(MoniDroid是以C#语言和部分.Net基类库为核心,使用mono虚拟机为Android平台开发应用的代码框架),MonoDroid框架开发的特点是开发者编写的逻辑代码都会最终编译在dll文件中,而不是常规的dex文件中,因而常规的反病毒检测手段对这类应用一般都会失效。此外,该病毒使用了知名应用Telegram的Bot进行通信,相较于传统的C&C域名通信具有极强的隐蔽性。安天移动安全团队联合猎豹移动安全实验室对其进行了深入分析并发布技术报告,全文如下。

一、样本信息

b1.png

二、静态分析

首先从AM文件中,可以看到该病毒申请了一系列与窃密行为相关的权限: 

image002.png

此外,在AM文件中还看到其注册了各种receiver用来监听系统消息。

image003.png

深入查看一个用来接收当有电话打入时的receiver,在该类中我们并未发现一些实际功能代码。在onReceiver函数中,其直接将Context和Intent转交给了一个native方法n_onReceive,然而尴尬的是在这个类中,我们并没有看到有loadLibrary的so文件,而这其实利用的是Mono框架实现的。