网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线： 152-150-65-006 023-68263070 扫描二维码加我微信

漏洞公告团结互助，让我们共同进步！

当前位置：主页 > 技术资讯 > 网络安全 > 漏洞公告 >

我们的优势： 10年相关行业经验，专业设计师量身定制设计师一对一服务模式，上百家客户案例！企业保证，正规流程，正规合作 7*24小时在线服务，售后无忧

Ginp:Adobe Flash Player木马的新变种

文章来源：牛创网络围观次数：

分享到:

摘要：一种新的特洛伊木马病毒Gipp。尽管他和两周前发布的Anti-Spy Trip 004报告中描述的“ Flash Player”木马病毒与“ Flash Player”彼此相似，但它们属于不同的病毒家族。

该恶意软件的原始版本可以追溯到2019年6月上旬，并且伪装成“ Google Play验证程序”应用程序。当时，Ginp是一个简单的SMS窃取程序，其目的是将用户手机接收和发送的文本消息的副本发送到C2服务器。

2019年8月，发布了一个新版本，其中增加了银行木马特有的功能。该恶意软件伪装成伪造的“ Adobe Flash Player”应用程序，并且该恶意软件代码增强了防混淆功能。与前两周发布的“ Flash Player”特洛伊木马相比，Ginp具有对特洛伊木马进行远程控制以获取用户联系人列表，SMS列表和其他私人信息的功能。授权应用程序敏感权限并加载网页以覆盖特定的应用程序页面，以窃取登录凭据信息。

一，样品信息

MD5：1EA4002F712DE0D9685D3618BA2D0A13

程序名称：Adobe Flash Player

包名称：solution.rail.forward

安装图标：

详细分析

当恶意软件首次在设备上启动时，它会隐藏该图标，并要求受害者提供访问权限。

一旦用户授予了请求的可访问性服务特权，Ginn就会自动自动为其授予其他权限，以便能够执行某些敏感的高特权操作，而无需受害者采取任何进一步的行动。一旦完成，该恶意程序即可开始工作，并且可以接收命令并执行覆盖攻击。

检测配置信息，并将信息发送到服务器。为了便于控制端根据配置信息确定可以在受害者的机器上执行哪些操作。

监视服务器的响应状态，获取C2服务器发出的指令，并窃取诸如用户的联系人列表和SMS列表之类的信息。将指定文本消息的内容发送给指定联系人，以传播恶意软件。

指令清单

指令功能

SENT_SMS从C2获取指定的SMS内容并将其发送到指定的号码

NEW_URL更新C2网址

杀死服务

PING_DELAY ping请求之间的更新间隔

ALL_SMS获取所有短信

DISABLE_ACCESSIBILITY停止阻止用户禁用辅助功能

ENABLE_ACCESSIBILITY可防止用户禁用辅助功能

ENABLE_HIDDEN_SMS将恶意软件设置为默认SMS应用程序

DISABLE_HIDDEN_SMS删除恶意软件作为默认SMS应用程序

ENABLE_CC_GRABBER启用Google Play报道

DISABLE_CC_GRABBER禁用Google Play报道

ENABLE_EXTENDED_INJECT发起覆盖攻击

DISABLE_EXTENDED_INJECT禁用覆盖率攻击

START_DEBUG开始调试

STOP_DEBUG停止调试

START_PERMISSIONS发起对SMS权限的请求

GET_CONTACTS获取所有联系信息

SEND_BULK_SMS将指定的SMS发送到多个号码

UPDATE_APK下载并安装应用

通过可访问性服务AccessibilityService，监视用户设备的操作事件。

请执行下列操作：

（1）更新应用程序列表并自动下载并安装软件：从服务器获取要下载的应用程序链接，下载应用程序，并打开安装界面。弹出安装界面时，遍历该节点，然后单击perforAcmtion以执行同意协议。

（2）自动授予高敏感度权限：申请接收，发送和读取SMS权限。当系统请求系统弹出框的许可时，将遍历节点，并通过perforAcmtion执行每次单击同意。

（3）保护自己免受删除：检测到用户打开的界面包含“强制”强制停止和“应用程序信息”应用程序列表时，程序退出到HOME界面，因此用户无法通过以下方式卸载软件：查看应用程序列表。

（4）覆盖攻击：监视用户打开的应用程序，并从服务器获取覆盖目标应用程序的网页。服务器模拟真实的应用程序页面以覆盖以窃取用户登录凭据。

目标软件：

Google Play

Facebook

Instagram

Chrome

Skype

Twitter

Snapchat

将恶意软件设置为默认的SMS应用程序。监视用户文本消息的发送和接收。

三，服务器地址

表3-1服务器地址

服务器地址功能

http：//64.**.51.107/api2/ping.php主站

http：//64.**.51.107/api2加载覆盖页面

http：//64.**.51.107/api2/sms.php上传短信

四，同源样本

在监视期间发现具有相同服务器地址的样本。尽管特洛伊木马暂时将某些社交软件作为目标，但它可能正在更新该恶意软件的另一个新版本，以将目标重定向到银行，以从用户那里窃取更多敏感信息，例如：***信息，***信息以获取利益。。

表4-1同源样本

应用名称包名MD5

Google Play Verificatorsing.guide.false0ee075219a2dfde018f17561467272633821d19420c08cba14322cc3b93bb5d5

Google Play Verificatorpark.rather.dance087a3beea46f3d45649b7506073ef51c784036629ca78601a4593759b253d1b7

Adobe Flash Playerethics.unknown.during5ac6901b232c629bc246227b783867a0122f62f9e087ceb86d83d991e92dba2f

Adobe Flash Playercom.pubhny.hekzhgjty14a1b1dce69b742f7e258805594f07e0c5148b6963c12a8429d6e15ace3a503c

Adobe Flash Playersentence.fancy.humble78557094dbabecdc17fb0edb4e3a94bae184e97b1b92801e4f8eb0f0626d6212

五，安全建议

由于恶意软件会自我保护，因此用户无法以正常方式将其卸载。您可以通过以下方式进行卸载。

（1）将手机连接到计算机，然后在控制终端上输入命令：adb shell pm install package name。

（2）输入手机的/ data / data目录或/ data / app目录，并卸载文件名中包含应用程序包名称的文件夹。该应用程序将不可用。

（3）安装防病毒软件，可以有效识别已知病毒。

许多攻击者通过短信传播恶意软件，因此用户不应轻易点击带有链接的短信。

请务必到官方应用程序商店或官方网站下载软件，并小心从论坛或其他不规则网站下载软件。

本文由牛创网络整理发布,转载请保留出处，内容部分来自于互联网，如有侵权请联系我们删除。

相关热词搜索：Ginp Adobe Flash Player木马新变种

上一篇：谷歌修复了一个重要的DoS缺陷，在Android中被跟踪为CVE-2019-2232
下一篇：TP-Link已发布修补程序解决TP-Link Archer系列路由器漏洞可使Admin账户密码保护失效的问题

关于我们

重庆牛创网络科技有限责任公司是一群技术强大、思维活跃、拥有创新精神的年轻人创立，公司致力于为企业提供全面、周到、专业的互联网解决方案，提供网站建设、网络推广、网络安全审计、wifi营销认证、网站运营维护、域名注册、虚拟主机、企业邮局、企业形象设计等多种信息产品和服务。

联系我们

公司电话： 023—68263070
办公地址：重庆市北碚区金华路399号
邮箱：120481297@qq.com
技术咨询：15215065006

“互联网+”方案

重庆网站建设

备案图标渝ICP备19004889号-1 渝公网安备 50010902000896号

行业安全认证

漏洞公告团结互助，让我们共同进步！

Ginp:Adobe Flash Player木马的新变种

热门资讯

关于我们

联系我们

“互联网+”方案