万人德扑

當前位置:首頁最新動態官方新聞

感染Android固件的Triada病毒沉渣泛起發布時間:2020-07-15 18:09

近來,在給很多客戶的網絡分析異常時,我們發現國際方向出現顯著的異常流量。

異常流量的特點突出:

1。 以tzhnykj。com為根域名的DGA域名,目標端口集中在10301和10101等,訪問量巨大;

2. 典型訪問CGI例子為:

3. 并發會話多,通信流量少,通信類型上傳為主,對很多的出口防火墻、網關設備形成了一定的沖擊;

4。 數據協議以HTTP POST為主,協議特征顯示使用的為安卓瀏覽器;

5。 統計過去兩周來相關域名數量,6月22日之前一直維持30個,之后擴展為38個子域名;

6. 在7月6日12點之前,該域名組相對低迷穩定,之后則呈現明顯爆發態勢;

7. 在VirusTotal對其中訪問量較大的域名進行統計,發現目前沒有報告這個URL自身有問題,但是和它有通信的文件有清晰一致的病毒報告;

8. 當前VirusTotal跟蹤到的相關域名為10個,但是我們觀測到了多達38個,其他尚未被VirtusTotal標注;

9. 對排名第一的域名進行分析,追蹤到唯一可疑的APK,VTI 報告為Triada病毒;

10. 查閱追溯病毒Triada歷史,可以發現卡巴斯基2016年的報道,以及谷歌在2019年的報道:

引用:繼俄羅斯安全公司卡巴斯基3年前首次公開報告之后,今天谷歌安全博客發文稱通過他們的供應鏈已經確認部分Android設備的固件更新已經被感染,以便于黑客安裝惡意程序。黑客利用名為“Triada”的惡意程序感染這些固件,卡巴斯基于2016年3月的官方博客中首次描述了這種惡意軟件。

該惡意程序可以和眾多命令、控制中心進行通信,并允許安裝可用于發送垃圾郵件和顯示廣告的應用程序。2017年7月,反病毒廠商Dr Web發現Triada被內置到許多Android設備的固件中,其中包括Leagoo M5 Plus,Leagoo M8,Nomu S10和Nomu S20等等。而且由于該惡意程序屬于操作系統本身,因此無法輕松刪除。

谷歌在博文中寫道:Triada的創建者通過垃圾應用上顯示的廣告來牟利。和其他同類惡意軟件相比,Triada更加復雜且不常見。Triada是從rooting trojans木馬發展而來的,但隨著Google Play Protect對防御這種攻擊的增強,Triada惡意程序被迫轉型以系統鏡像后門方式進行感染。但是,由于OEM合作和我們的推廣工作,原始設備制造商準備了系統映像,其安全更新消除了Triada感染。

11. 除去阿里的殺毒引擎, 國內安全公司普遍不識別這個嚴重的固件病毒:

更為有趣的是,最早發現的卡巴斯基也失去了對這個病毒更新的追蹤。

 

 

至此,可以有如下初步結論:

1. 這組域名是可以感染Andoid手機固件的Triada病毒的最新變種的部分IoC,且正處在快速擴展周期,感染數量劇增。該惡意程序可以和眾多命令、控制中心進行通信,并允許安裝新的攻擊模塊,且進行云端升級。

2. 從我們觀察到感染數量和分布廣泛程度來看,它已經形成了較大的危害,具體覆蓋數量需要權威部門給出。

3. 從掛載香港服務器和常用的一些手法觀察,這是國內黑產組織的系統性攻擊,值得引起安全公司和主管部門重視,在進入僵尸網絡利用末期演化為DDoS甚至勒索行為之前盡快剿滅。

4。 對普通用戶而言,如果在今日之前的網絡訪問日志歷史中,觀察到了tzhnykj。com后綴的URL訪問,說明手中的Android手機已經被人遠程控制,暫時只能通過刷原廠固件解決,進一步的本機殺毒需要更多國內殺毒廠商更新他們的病毒引擎。


 

 

在我們公布這個提醒之后,Triada一定會切換為新的IoC,更進一步的分析和處置,請大家靜待專業安全公司的報告。

在此之前,發現被攻擊了,能刷機刷機,不能刷機的,手機就扔了吧!

 

 

神獸路由購買鏈接:

 

 

 

 

更多精彩:

?