CypherRat | 安卓远控木马分析

刚刚在buf上看到一篇文章

https://www.freebuf.com/articles/network/355227.html

题为：瞄准金融行业的远控木马：SpyNote

刚好我手里就有他文章里写到的CypherRat

上网查了下发现没有类似的文章

于是我打算写一篇文章来谈谈CypherRat

我手里的是3.0版本和3.5版本，我会分别去谈每个版本的不同

CypherRat3.0

生成页面以及其功能：

当你选完参数后点击生成，稍等片刻他就会自动生成

默认文件名为ready.apk

沙箱分析：

https://s.threatbook.com/report/file/b50bbfc4220538251eeb3de450887a19add1d075356f2065523c52bb32637c35

微步云：

https://www.virustotal.com/gui/file-analysis/NGU0NzI3ZDhjNDBlNzVmYTVjNzBlMGM2MTk0MTVkZWI6MTY3MzkxNzQwOA==

VT：

当安装时

后台页面与功能：

 

 

这里为了安全起见我用的雷电模拟器哈

当你点击后他会跳转到无障碍，诱导你点开无障碍选项：

 

好我们给他权限

 

然后它就会自己给自己开一大堆权限，你点也点不了

来看看后台页面吧

 

 

 

大概功能有这些，来说下解决方法

当你发现你的手机莫名安装了一个隐藏的程序，请立刻备份重要资料并恢复出厂设置，这个是比较稳妥的方法

CypherRat3.5

页面多了点功能

主要是完善了3.0版本

大体没有变，应该是多加了点功能，应该是有个提权

木马分析：

https://s.threatbook.com/report/file/06b90428557612f7cfb450f46a40f759d23417152baaad4918fdfc915f733462

微步云：

https://www.virustotal.com/gui/file-analysis/NjIzOTFlYjJkN2JlNGIxOWU3Y2Y4YzI3Yzk4ZDM4MTE6MTY3MzkxODczNA==

VT：

 

要手动给权限

伪造成了这个

 

 

解决方法同上

警告警告：文件可能有木马，请在虚拟机里使用

下载链接：

  此处内容已隐藏，请评论后刷新页面查看.