公式专区
- video.viodger[.]com
向PhantomLance的Firebase API发出有效乞求,响答JSON结构包含AES解密密钥,其中“code_disable”值是有效负载的解密密钥。
872a3dd2cd5e01633b57fa5b9ac4648d
641f0cc057e2ab43f5444c5547e80976
0e7c2adda3bc65242a365ef72b91f3a8
3285ae59877c6241200f784b62531694
315f8e3da94920248676b095786e26ad
Version 2
Android campaign 2014-2017
b107c35b4ca3e549bdf102de918749ba
2e49775599942815ab84d9de13e338b3
mine.remaariegarcia[.]com
mine.remaariegarcia[.]com
几乎每栽凶意柔件安放案例中,抨击者都试图行使捏造用户允诺制定(EULA)创建Github开发帐户。
c399d93146f3d12feb32da23b75304ba
us.jaxonsorensen[.]club
egg.stralisemariegar[.]com
2e06bbc26611305b28b40349a600f95c
79f06cb9281177a51278b2a33090c867
IOCs PhantomLance
发现能够IP:188.166.203[.]57:
us.jaxonsorensen[.]club
3285ae59877c6241200f784b62531694
e648a2cc826707aec33208408b882e31
a330456d7ca25c88060dc158049f3298
Version 2.1
50bfd62721b4f3813c2d20b59642f022
受害者分布
相关分析
sadma.knrowz[.]com
相通性分析
0e7b59b601a1c7ecd6f2f54b5cd8416a
HEUR:Trojan.AndroidOS.Agent.eu
HEUR:Trojan-Downloader.AndroidOS.Agent.gv
对2018年头macOS有效负载(MD5:306d3ed0a7c899b5ef9d0e3c91f05193)进走分析,并将其与Android凶意柔件的代码模式进走相关比较。发现七个重要类别中有三个具有相通的名称和相通的功能:“Converter”, “Packet” and “Parser”.
https://apkpourandroid[.]com
a795f662d10040728e916e1fd7570c1d
a097b8d49386c8aab0bb38bbfdf315b2
2e49775599942815ab84d9de13e338b3
83cd59e3ed1ba15f7a8cadfe9183e156
94a3ca93f1500b5bd7fd020569e46589
如版本1所述,凶意功能所需的权限是议定未记录的Android API付与的,还发现用于签名版本2有效负载的两个分歧证书。
此版本是最新的Google Play样本(MD5:2e06bbc26611305b28b40349a600f95c)。与其他版本分歧,它不会删除其他可实走文件。抨击者尝试答用众栽技术绕过Google官方过滤,于2019年上传到Google Play商店。清单文件中未挑及嫌疑权限,抨击者将其暗藏在dex可实走文件中,在实走过程中动态乞求。凶意柔件大无数操作都必要root权限。倘若设备有root特权,凶意柔件能够议定“setUidMode”获得所需权限,无需用户参与。
传播手段
2016年最先不益看察到印度,越南,孟添拉国,印度尼西亚等地的Android设备受到抨击。
e648a2cc826707aec33208408b882e31
c399d93146f3d12feb32da23b75304ba
最新凶意柔件下载发生在2017年12月,2018年不益看察到幼批运动,但从托管凶意柔件的数目和检测数目来望,重要运动时间是在2014岁暮至2017年。
log.osloger[.]biz
itpk.mostmkru[.]com
7048d56d923e049ca7f3d97fb5ba9812
PhantomLance malware
c630ab7b51f0c0fa38a4a0f45c793e24
nhaccuatui.android.zyngacdn[.]com
大无数OceanLotus凶意柔件答用三台分歧C2服务器。
在分析С2服务器基础结构时迅速确定了众个与先前相通的域,但未链接到任何已知的凶意样本。
mtk.baimind[.]com
版本2已被该版本替换,2019年未不益看察到版本3的任何新安放,技术细节方面它比版本2更为先辈。
79f06cb9281177a51278b2a33090c867
b4706f171cf98742413d642b6ae728dc
8008bedaaebc1284b1b834c5fd9a7a71
ce5bae8714ddfca9eb3bb24ee60f042d
news.sqllitlever[.]info
抨击者试图实现第三阶段有效载荷植入。 第二阶段有效负载(MD5:83cd59e3ed1ba15f7a8cadfe9183e156)包含一个名为“data”的APK文件(MD5:7048d56d923e049ca7f3d97fb5ba9812),其assets已损坏。
8d5c64fdaae76bb74831c0543a7865c3
cloud.anofrio[.]com
钻研人员分析了PhantomLance与OceanLotus APT运动的相关。
0e7c2adda3bc65242a365ef72b91f3a8
7048d56d923e049ca7f3d97fb5ba9812
inc.graceneufville[.]com
65d399e6a77acf7e63ba771877f96f8e
file.log4jv[.]info
https://apkpure[.]com
PhantomLance
game2015[.]net
https://apk[.]support/
quam.viperse[.]com
itpk.mostmkru[.]com
hr.halettebiermann[.]com
0e7b59b601a1c7ecd6f2f54b5cd8416a
0e7c2adda3bc65242a365ef72b91f3a8
83c423c36ecda310375e8a1f4348a35e
Android campaign 2014-2017
83c423c36ecda310375e8a1f4348a35e
term.ursulapaulet[.]com
HEUR:Trojan-Dropper.AndroidOS.Dnolder.*
此版本在2019年或更早的时候被检测到,其中一个样本于2019年11月出现在Google Play商店中。 按照检测统计数据和版本戳, 香港六合正版综合资料网可判定该版本是版本3的替代品。
7285f44fa75c3c7a27bbb4870fc0cdca
凶意有效载荷APK打包在assets添密(AES)文件中, 天线宝宝一码中平特解密密钥和初首化向量(IV)位于添密有效载荷的前32 16字节中。
HEUR:Trojan.AndroidOS.Agent.vg
94a3ca93f1500b5bd7fd020569e46589
aki.viperse[.]com
ce5bae8714ddfca9eb3bb24ee60f042d
243e2c6433815f2ecc204ada4821e7d6
8d5c64fdaae76bb74831c0543a7865c3
为了便于钻研, 香港黄大仙必中六肖按照技术复杂性将发现的样本分为基本版本1到高度复杂版本3, 管家婆一肖一码免费大公开版本号与显现的时间不十足相关。
315f8e3da94920248676b095786e26ad
taiphanmemfacebookmoi[.]info
OceanLotus Android
HEUR:Trojan.AndroidOS.Agent.vg
抨击者对越南相等感有趣,PhantomLance和OceanLotus的基础设施存在重叠,Android与MacOS后门之间代码存在相通性。
HEUR:Backdoor.AndroidOS.PhantomLance.*
54777021c34b0aed226145fde8424991
fe15c0eacdbf5a46bc9b2af9c551f86a
af44bb0dd464680395230ade0d6414cd
65d399e6a77acf7e63ba771877f96f8e
jang.goongnam[.]com
quam.viperse[.]com
在调查中发现抨击者上传的初首版本不包含任何凶意有效负载, 但是后续版本中包含凶意有效负载或其他凶意代码。
bit.catalinabonami[.]com
term.ursulapaulet[.]com
6bf9b834d841b13348851f2dc033773e
50bfd62721b4f3813c2d20b59642f022
a330456d7ca25c88060dc158049f3298
a097b8d49386c8aab0bb38bbfdf315b2
实走后会产生一个APK文件(MD5:c399d93146f3d12feb32da23b75304ba),该文件配置有C2服务器(cloud.anofrio[.]com, video.viodger[.]com, api.anaehler[.]com) 。 第三阶段APK在assets中著名为“data.raw”的本地库,该库用于在受感染的设备上实现持久限制。
mokkha.goongnam[.]com
每个版本3负载都具有相通的程序包名称“com.android.process.gpsp”,答用用于签定某些版本2的相通证书签名。在版本3中找到的唯一版本标记是“10.2.98”。
8b35b3956078fc28e5709c5439e4dcb0
810ef71bb52ea5c3cfe58b8e003520dc
{ "entries": { "code_disable": "27ypYitp1UFc9Tvh" },公式专区 "appName": "com.ozerlab.callrecorder", "state": "UPDATE" }
fe15c0eacdbf5a46bc9b2af9c551f86a
cloud.anofrio[.]com
news.sqllitlever[.]info
0d5c03da348dce513bf575545493f3e3
PhantomLance payload-free versions
a795f662d10040728e916e1fd7570c1d
在APK magic前,文件头包含对有效载荷手段逆射调用的字符串。
HEUR:Backdoor.OSX.OceanLotus.*
解密流程:
*参考来源:securelist,由Kriston编译,转载请注解来自FreeBuf.COM
打开全文7285f44fa75c3c7a27bbb4870fc0cdca
还在尼泊尔,缅甸和马来西亚进走了众次侦查,南亚是该布局的最大现在标地区。除了常见的诱饵答用程序(例如Flash插件,洁净程序和更新程序)以外,还有特意针对越南的答用程序。
8b35b3956078fc28e5709c5439e4dcb0
243e2c6433815f2ecc204ada4821e7d6
872a3dd2cd5e01633b57fa5b9ac4648d
83cd59e3ed1ba15f7a8cadfe9183e156
jang.goongnam[.]com
6bf9b834d841b13348851f2dc033773e
HEUR:Backdoor.AndroidOS.PhantomLance.*
0e7c2adda3bc65242a365ef72b91f3a8
b1990e19efaf88206f7bffe9df0d9419
Version 1
07e01c2fa020724887fc39e5c97eccee
HEUR:Trojan-Downloader.AndroidOS.Agent.gv
5079cb166df41233a1017d5e0150c17a
ckoen.dmkatti[.]com
54777021c34b0aed226145fde8424991
5079cb166df41233a1017d5e0150c17a
HEUR:Trojan.AndroidOS.Agent.eu
一切样本的功能都是相通的,重要方针是搜集敏感新闻,包括地理位置,呼叫记录,相关人、SMS、已安置的答用程序列外以及设备新闻。抨击者能够按照特定设备环境下载并实走各栽凶意有效负载。
抨击者重要议定答用市场进走传播。除了已向Google通知的com.zimice.browserturbo和com.physlane.opengl之外,还不益看察到其他一些传播痕迹,外明昔时有很众凶意答用程序已安放到Google Play,但现已被删除。
确定了众个第三方市场,这些市场与Google Play分歧,它们照样托管凶意答用程序:
api.anaehler[.]com
2019年5月,Antiy Labs发布了Android凶意柔件运动通知,声称该运动与OceanLotus APT相关,样本最早追踪可追溯到2014年12月。受此运动影响的大无数用户位于越南,只有小批人位于中国。重要感染序言是第三方网站上托管的凶意答用程序链接,这些链接议定SMS或电子邮件进走分发。
与第二版相比,第一阶段的植入程序杂沓更为彻底。它答用与版本2相通的手段来解密有效负载,添密内容被分为众个10256字节以下的文件以及一个添密配置文件,其中包含有效载荷解密详细新闻。
凶意柔件版本
file.log4jv[.]info
mokkha.goongnam[.]com
PhantomLance payload-free versions
bit.catalinabonami[.]com
game2015[.]net
b107c35b4ca3e549bdf102de918749ba
641f0cc057e2ab43f5444c5547e80976
HEUR:Trojan-Dropper.AndroidOS.Dnolder.*
对报道中OceanLotus Android(MD5:0e7c2adda3bc65242a365ef72b91f3a8)和未杂沓的(能够是开发人员版本)PhantomLance有效负载v3(MD5:243e2c6433833815f2ecc6640)进走了代码结构比较:
inc.graceneufville[.]com
b4706f171cf98742413d642b6ae728dc
af44bb0dd464680395230ade0d6414cd
https://apkpourandroid[.]com
aki.viperse[.]com
https://apkcombo[.]com
2e06bbc26611305b28b40349a600f95c
egg.stralisemariegar[.]com
07e01c2fa020724887fc39e5c97eccee
cyn.ettebiermahalet[.]com
第二阶段如下所述读取此APK文件,对其解密并重写其前27个字节。
HEUR:Backdoor.OSX.OceanLotus.*
2019年7月Dr. Web报道了Google Play中的后门木马,钻研人员将其称为“PhantomLance”,它最早运动记录可追溯到2015年12月。现在发现了数十个在野样本,出现在Google Play等各栽答用程序市场中。 最新样本于2019年11月6日在官方Android市场发布,不久后被官方删除。
cyn.ettebiermahalet[.]com
mtk.baimind[.]com
OceanLotus macOS后门
基础设施
ming.chujong[.]com
https://apkpure[.]com
d23472f47833049034011cad68958b46
b1990e19efaf88206f7bffe9df0d9419
d23472f47833049034011cad68958b46
ckoen.dmkatti[.]com
api.anaehler[.]com
c630ab7b51f0c0fa38a4a0f45c793e24
Version 3
sadma.knrowz[.]com
在调查过程中发现其与OceanLotus APT有很众相通之处。
video.viodger[.]com
staff.kristianfiedler[.]club
nhaccuatui.android.zyngacdn[.]com
810ef71bb52ea5c3cfe58b8e003520dc
log.osloger[.]biz
8008bedaaebc1284b1b834c5fd9a7a71
https://apkcombo[.]com
video.viodger[.]com
d61c18e577cfc046a6252775da12294f
0d5c03da348dce513bf575545493f3e3
hr.halettebiermann[.]com
ming.chujong[.]com
一切版本2有效负载都答用相通的程序包名称“com.android.play.games”,相通于官方Google Play游玩程序包“com.google.android.play.games”。此外,在解密的有效载荷中发现了开发人员版本标记。
2020年头发现PhantomLance最新样本引入晓畅密有效载荷的新技术:凶意有效载荷和植入程序捆绑在一首,并答用AES添密。 密钥不会自己携带,而是议定Google的Firebase长途配置编制发送到设备,其他技术功能与版本2特意相通。
https://apk[.]support/
staff.kristianfiedler[.]club
taiphanmemfacebookmoi[.]info
d61c18e577cfc046a6252775da12294f
原标题:瑞士旅游业有望在6月恢复运营 来源:驻瑞士联邦大使馆经济商务处
-季度业绩:
,,香港精准平特一肖- 上一篇:除了这个吊坠
- 下一篇:约是同期百强物管企业的2.22倍
点击排行榜
友情链接