新的Xloader Variant利用Twitter隐藏C2地址

趋势科技的安全专家发现了Xloader特洛伊木马的新变种,它是通过摆在作为安全应用程序来定向Android设备的新变种。

趋势科技发现Xloader特洛伊木马的新变种,它通过摆在作为安全应用程序来定位Android设备,恶意软件还尝试通过恶意iOS配置文件感染Apple设备(iPhone和iPad)。自2018年以来已观察到Xloader,但专家们将其追溯到2015年1月,趋势科技将威胁与诈骗恶意软件联系起来。

新的Xloader Trojan Variant具有更新的部署技术,包括使其与以前的变体不同的代码更改。

在以前的攻击中观察到恶意代码作为Facebook,Chrome和其他合法应用程序。

“趋势科技研究人员发现了一种新的变体,它使用不同的方式来引诱用户。此新Xloader Variant饰品为Android设备的安全应用程序,并使用恶意IOS配置文件来影响iPhone和iPad设备。” reads the 分析 由趋势科技发布。“除了其部署技术的变化之外,其代码中的一些变化将其与以前的版本分开。 ”

攻击者托管虚假网站上的恶意代码模仿合法网站,例如属于日本手机运营商。黑客试图将用户欺骗下载假安全android应用程序包(apk),他们发送到包含与虚假网站链接的受害者短信。

当Android用户访问这些网站或按任意按钮时,它们将被提示下载恶意APK。

“但是,成功安装此恶意APK要求用户允许在未知源设置中安装此类应用程序。如果用户允许安装此类应用程序,则可以在受害者的设备上积极安装它。”继续分析。

IOS设备上的攻击链更复杂,用户提供了一个大乐透走势图500期图钓鱼页面,要求用户安装一个恶意配置配置文件,该配置文件建议作为阻止站点加载的问题的解决方案。

“访问相同的恶意站点会将其用户重定向到另一个恶意网站(HXXP:// Apple-Icloud [。] QWQ-Japan [。] COM或HXXP:// Apple-Icloud [。] ZQO-Japan [。] Com)这会提示用户安装恶意iOS配置配置文件以解决阻止站点加载的大乐透走势图500期图问题。”继续分析。“如果用户安装配置文件,则恶意网站将打开,揭示它是苹果大乐透走势图500期图钓鱼网站,”

与以前版本的Xloader 6.0一样,最新的一个滥用社交媒体用户配置文件以隐藏C.&C addresses.
Xloader 6.0利用社交媒体平台推特,C2地址在Twitter名称中编码。

恶意软件利用Twitter配置文件来编码其真实命令和控制(C&c)Twitter名称中的地址。它实现了一个名为“getphonestate”的命令,该命令收集IMSI,ICCID,Android ID和设备序列号等移动设备的唯一标识符。

在Apple设备上,恶意iOS配置文件收集唯一的设备标识符(UDID),国际移动设备标识(IMEI),集成电路卡ID(ICCID),移动设备标识符(MEID),版本号和产品编号。

“安装配置文件后,将用户重定向到另一个Apple大乐透走势图500期图钓鱼站点。”读分析。“保安研究人员说,大乐透走势图500期图钓鱼网站使用收集的信息作为Get参数,允许攻击者访问被盗信息。

在分析这次攻击时,专家们发现了另一个Xloader的变体,该Xloader姿势被开发为针对韩国Android用户的色情应用程序,恶意APK连接到一个虚假的网站,在后台运行Xloader并使用不同的修复Twitter帐户。

专家们还发现了一种振动Instagram和Tumblr的变体来隐藏它的c&C infrastructure.

在趋势科技发布的分析中报告了妥协指标的进一步技术细节,包括妥协。

皮奈里格帕加尼尼

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请