Super Malware maintenant Google magasin, Kaspersky pot jet� le personnel de s�curit� chinois: ne r�pondez pas!

Lead: Le logiciel malveillant inclus � .root_sh � la pr�sence de commentaires chinois dans le fichier de script, il est vraiment le peuple chinois le faire? Non! ! Il y a des meurtriers.

Auteur: Lei Feng chroniqueur de s�curit� r�seau net, Li Qin

Nous savons seulement que l'amour pirate Kaspersky nomm� la Cor�e du Nord, par exemple, que la derni�re vague de virus d'extorsion connue dans le monde entier, il va se lever et dire:

Derri�re ou de la Cor�e du Nord!

Manger des masses de melon ont vu le pirate nord-cor�en nomm�, a commenc� � tisser d'innombrables versions de l'histoire et devinez qui mettent l'accent sur le mot � ou �.

� Ou � il est susceptible d'avoir, ne peut pas �tre.

Cette � injustifi�e � Il n'y a pas de � pot � empirique mais a d� tuer des personnages historiques c�l�bres.

Cependant, pour certaines personnes, aussi longtemps que la Chine n'est pas nomm�, a d�clar� aucune ligne un.

Cependant, le 8 Juin Kaspersky a publi� un rapport intitul� � Dvmap: le premier malware Android avec injection de code � ( � Dvmap: la premi�re avec la possibilit� de coder inject que les logiciels malveillants Android �) Le rapport indique que, Kaspersky �chantillons de logiciels malveillants analys�s type d'ex�cution de la plate-forme Android injection de code malveillant, Ensuite, il est mentionn� dans le rapport, les commentaires chinois � .root_sh � fichier de script qui contenait un logiciel malveillant.

Est vague � dire: il y a autant de commentaires de fichiers de script chinois, oh, qui le fait?

Assis � la maison, le pot du ciel.

Peut-�tre conscient de cela, les chercheurs de s�curit� chinoises se sont pr�cipit�s pour effectuer une analyse en profondeur.

Lei canal de d�couverte r�seau Feng �dition guest house, � Un jour en mouvement s�curit� � 9 Juin a publi� un � sur � Dvmap � analyse Android Malware rapport �, quels �chantillons ont �t� analys�s.

Confondre: � criminels � se cachent en temps r�el

Tout d'abord, nous allons voir, ce malware Android � la fin peut faire.

Cette renomm�e de camouflage com.colourblock.flood.apk comme jeu de puzzle "Colourblock", publier t�l�charger sur Google Play.

Comme il est inoffensif pour les humains et les animaux, il ne sera certainement pas vous laisser � Eye � voyez est en fait un petit diable.

Toutefois, ce logiciel malveillant sera bas� sur la version du syst�me implant terminal, type de cpu et d'autres informations, son fichier malveillant d�crypter embarqu� � Game * .res �. Oh da, mais aussi en fonction de l'adaptation de t�l�phone de celui-ci!

Finalement, apr�s la sortie du fichier d'analyse de fichier malveillant commence � griffes � en essayant de passer le temps d�guis� en un programme de haut le service, son r�le principal est de communication du serveur et de contr�le � distance et effectuer des t�ches de contr�le � distance.

C'est, t�l�commande votre t�l�phone!

Ensuite, vous devez demander: Quand je mange du riz cuit Otani chanson est-il? Pourquoi ne pas d�tect�?

Ce malware est particuli�rement d�licate parce que, dans la bataille offensive et d�fensive devrait �tre la racine du b�ton d'huile.

Ce Colourblock de logiciels malveillants � la fin Mars partir, Sur l'utilisation de t�l�charger le logiciel alternatif le m�me jour avec une version malveillante �tait la version inoffensive de la m�thode, afin de contourner la mani�re de Google Play ses contr�les de s�curit� Et a utilis� le march� Google Play pour la distribution. Au moyen de cette m�thode �galement t�l�charger plusieurs versions de son logiciel malveillant et le chiffrement de sa charge utile malveillante, jusqu'� la fin de Mars jusqu'� ce que le prochain rapport cadre Kaspersky Labs, le logiciel malveillant a �t� t�l�charg� plus de 50.000 fois accumul�s.

Le personnel de s�curit� ont �galement constat� que l'analyse Ce d�veloppeurs de code malveillant ont une certaine capacit� anti-reconnaissance pour se prot�ger contre la mise en uvre malicieuse exemple de certaines mesures de protection, telles que le temps de g�n�ration de apk cachette, Modifier l'heure locale du syst�me en g�n�rant apk, conduisant � d�compresser le fichier apk pour obtenir le temps de la g�n�ration 1979.

C'est comme cacher les vrais criminels ont commis des crimes dans la police � r�soudre l'affaire.

Cependant, la d�fense de l'ancien pilote n'est pas un v�g�tarien, ils par des moyens, creuser le temps r�el de la production des logiciels malveillants est de 18 Avril, 2017, fournissant ainsi la base n�cessaire pour les donn�es r�elles ult�rieures � pour r�soudre le cas. �

Kaspersky estime qu'il existe des �l�ments chinois, mais la v�rit� est ......

Premi�re pause pour r�soudre le cas, pourquoi Kaspersky et penser � la Chine?

Il est av�r� que tous les informations apparaissent � kinguser.apk � dans plusieurs fichiers bin �chantillons malveillants, l'�chantillon peut �tre �mis l'hypoth�se que l'utilisation malveillante du programme exp d�velopp� par les outils de d�veloppement chinois pour kingroot mentionner le droit.

Cependant, la d�fense de l'ancien pilote apr�s la d�couverte du temps r�el de la production, le myst�re a �t� r�solu progressivement.

Preuve d'une

Le personnel de s�curit� ont d�couvert les logiciels malveillants t�l�charg�s sur Google Play � partir de la premi�re fois � partir d'aujourd'hui, la station terminale 965 a �t� implant� avec succ�s des �chantillons malveillants, la r�partition du nombre de l'Indon�sie et de l'Inde ont atteint 220 unit�s et 128 unit�s, repr�sentant 22,79 respectivement % et 13,26%, au troisi�me rang au Canada, qui est implant� dans le nombre de terminaux sur le logiciel malveillant �tait seulement 48, le nombre de terminaux � des �chantillons malveillants de la r�gion Indon�sie avec une pr�dominance dans la gamme statistique.

Preuve de deux

Les donn�es d'�chantillon sur la dur�e d'acquisition initiale de la charge utile des logiciels malveillants pour le 19 Avril position de l'implant du terminal en Allemagne, mais apr�s analyse approfondie a r�v�l� que l'environnement d'exploitation de l'�chantillon pour Remix OS Pour simulateur Andrews PC, et la fa�on r�elle connect� � Internet soci�t� allemande de s�curit� Avira utiliser le serveur VPN, ont donc un suspect d'�quipement de test de virus plus gros. Ainsi, la premi�re borne de charge est situ� terminal de donn�es position ant�rieure implant�e, une plus grande chance en Indon�sie.

La troisi�me -

Il n'y a pas assez de preuves, dans le domaine de la s�curit� ancienne � police � a �galement constat� que:

Selon la page d'information pour le cache malveillant �chantillon Colourblock conserv� du march� Google Play et d'autres sources de distribution du monde, obtenir la d�claration Retgumhoap Kanumep que le nom de l'auteur des logiciels malveillants, mais s'�craser � travers l'ensemble du r�seau de recherche importante comparaison de donn�es, n'existe pas au nom logiciel de r�seau lib�rer toute autre information associ�e � ce nom.

En lisant les noms analyse Retgumhoap Kanumep, Il a trouv� son nom � Kanumep � lettres individuelles de droite � gauche dans l'ordre inverse par rapport Pemunak, � savoir � Logiciel � indon�sien.

preuve quatre

Word est r�alis�e � Retgumhoap � � son nom � Retgumhoap �, depuis le pr�fixe � retg- � � retour (retour �) � sens, il tente de � umhoap � dans le sens antihoraire rotation alphab�tique 180 degr�s pour donner le mot � deoywn ". Le mot � deoywn � Recherche Web compl�te a trouv� qu'il y avait des robots programm�s pour publier automatiquement des messages en utilisant la station de bkueunclpa@deoywn.com de bo�te aux lettres dans un grand nombre de pages de babillard Internet:

[Source: s�curit� mobile Ann-jour]

La langue pour identifier l'ID de bo�te aux lettres � bkueunclpa �, on apprend que le dialecte indon�sien.

preuve de cinq

Il est prouv� que la charge d'exemples de pages malicieuses afin de renvoyer les interfaces de donn�es situ�es dans le nuage Amazon, le nom de domaine de la page contient mots � d3pritf0m3bku5 �, l'analyse, � savoir � de pritfomebkus �, traduction identifier la langue avec Google, est toujours en Indon�sie dialecte.

Ainsi, il semble bien que la v�rit�!

Selon le personnel de s�curit� pour d�terminer:

Vue pr�liminaire que les commentaires de code chinois dans le rapport d'analyse de Kaspersky probl�me d'origine mentionn� sp�cifiquement, mais les auteurs de logiciels malveillants devraient �tre utilis�s directement Kingroot d�veloppeurs de script chinois � �crire, au lieu de g�n�rer un contact direct significatif avec les d�veloppeurs de logiciels malveillants chinois.

La langue dispose d'informations �chantillons malveillants et d�veloppeur de juger, le logiciel malveillant a une relation directe avec la probabilit� d'un grand d�veloppeur indon�sien; De plus, parce que le logiciel malveillant ne favorise pas les enregistrements du r�seau dans tous les sites de r�seautage social, que par l'application du march� la distribution, et donc son comportement de promotion et de distribution rapide, le plus proche grande chance par d'autres moyens dans le cadre de leur propre r�seau social par un des d�veloppeurs de logiciels malveillants, combin�e � la r�partition g�ographique du terminal mobile et le montant global du programme malveillant implant� au d�but de l'implantation la r�partition g�ographique du terminal mobile peut �tre consid�r� comme l'Indon�sie �taient plus susceptibles d'�tre le si�ge des d�veloppeurs de logiciels malveillants et les principales victimes de la zone de mise au point.

Regardez comme le sentiment dans l'industrie de la s�curit� du r�seau a organis� une bataille d'esprits criminels vieux d'Interpol et de la ruse drame, semblait analyser le personnel de s�curit�, et voulait offrir ses genoux.

Note: Si vous voulez voir l'analyse technique plus d�taill�e, vous pouvez rechercher leur propre � rapport d'analyse des logiciels malveillants Android � s�curit� � sur � Dvmap le jour du d�m�nagement de s�curit�, le document analyse les donn�es pertinentes et les conclusions sont � titre de r�f�rence.

Lei Feng article original r�seau, s'il vous pla�t site web de r�impression pour demander le site officiel du r�seau d'autorisation Lei Feng. Bienvenue discussion passionn�e, la part de la transmission ~

Route de la soie

Apprenez � conna�tre la Chine

Super Malware maintenant Google magasin, Kaspersky pot jet� le personnel de s�curit� chinois: ne r�pondez pas!