详细内容或原文请订阅后点击阅览
SharkBot 的域生成算法
None
来源:bin.re _恶意软件SharkBot 是一种 Android 银行恶意软件,可窃取凭证和银行详细信息。除了一两个硬编码域外,它还依赖后备域生成算法 (DGA) 进行通信 - 这对于 Android 恶意软件来说相当罕见。在 SharkBot 的进一步开发过程中,DGA 经过多次更改。这篇博文展示了此 DGA 的四个版本及其不同之处。
jadx 和 jd-gui 都能够非常精确地反编译几乎整个 SharkBot 代码,但在 DGA 函数方面失败了。因此,我使用 dex2jar 将编译后的 Android 应用程序代码转换为 jar 文件,然后在包含 DGA 的类上运行未维护的 jad 反编译器。您可以在我的 GitHub 存储库中找到所有四个 DGA 的 Python 重新实现。
jadx jd-gui dex2jardex2jar
jad
jad
我的 GitHub 仓库
版本 0.0.0
我发现的第一个样本的版本设置为 0.0.0:
0.0.0
- MD50356f17f28778da7c97dc8b661c0aeb0SHA12c4828f926471ec4f3522fc28dd4d8fdec692c35SHA25676b4ee2da4e39677038ea033f25652fb02ed9e84ab829ce212fa1dfbc941df2c大小3 MB (4116240 字节)编译时间戳n/a链接病毒总数软件包名称com.btfezxwhygk2dw0gaj.eguafyojiqcw7a检测病毒总数:截至 2022-04-25 06:01:16 为 21/73 - Android.BankBot.904.origin (DrWeb), Android.Sharkbot.GEN46543 (CAT-QuickHeal)、Android.PUA.DebugKey (Trustlook)、特洛伊木马 (0058a5511) (K7GW)、AndroidOS/SpyAgent.F.gen!Eldorado (Cyren)、AppRisk:Generisk (SymantecMobileInsight)、Android/Spy.Agent.BWR (ESET-NOD32) 的变种、 AndroidOS.Sharkbot.d (卡巴斯基)、a.privacy.BankSharkBot (腾讯)、Trojan.Agent.Android.340641 (Zillya)、Artemis!Trojan (McAfee-GW-Edition)、Andr/Banker-HAQ (Sophos)、Android:Evo-gen [Trj] (Avast-Mobile)、ANDROID/SpyAgent.FKIX.Gen (Avira)、 HEUR:Trojan-Banker.AndroidOS.Sharkbot.d (ZoneAlarm)、Android.Trojan.SharkBot.B (BitDefenderFalx)、Trojan/Android.Agent.1071402 (AhnLab-V3)、Artemis!0356F17F2877 (McAfee)、Trojan-Spy.AndroidOS.SharkBot (Ikarus)、Android/Agent.BWR!tr(适用于tinet)