请选择 进入手机版 | 继续访问电脑版

SSS安全论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

产品
产品
团队
团队
版规
版规
查看: 1523|回复: 6

[软件分享] 国外SpyNote v2.4.1 (免root安卓远控)

[复制链接]
  • TA的每日心情
    开心
    2017-1-9 20:31
  • 签到天数: 12 天

    [LV.3]偶尔看看II

    发表于 2016-12-17 15:38:46 | 显示全部楼层 |阅读模式
    本帖最后由 P4th0g3n 于 2016-12-17 15:53 编辑

    最近PaloAlto Networks发现了一款面向大众免费派发的RAT(远程访问木马),名为SpyNote——这是个可对Android系统实现远程监听的工具,“和OmniRat和DroidJak很相似”。对那些技术不娴熟的脚本小子而言,想必又是个不可多得的好东西了。

    捕获.JPG


    20160804235628524001.png


    SpyNote控制面板
      SpyNote能做什么?
      SpyNote实际上是用来创建Android恶意程序的工具,最近在不少恶意程序论坛传得特别火。它有一些相当吸引人的特性:
      · 不需要获取系统的Root权限;
      · 对通话进行监听;
      · 窃取联系人和信息数据;
      · 通过麦克风记录音;
      · 恶意拨打电话;
      · 安装恶意应用;
      · 获取手机的IMEI码、WiFiMAC地址、无线网络运营商细节;
      · 获取设备最新的GPS地理位置信息;
      · 控制摄像头

     听起来真是不错啊,都不需要Android系统做Root操作,真这么神?当然了,还是需要手机用户自己给予SpyNote这些权限才行,包括编辑短信、访问通话记录、联系人,以及修改、删除SD内容的权限——其实绝大部分用户看到这些权限请求都会毫不犹豫的点“下一步”或“允许”。


      行为分析

      Palo Alto对发现的SkyNote恶意程序样本进行了分析。YouTube上先前就已经有了SkyNote v2的使用视频——Palo Alto分析的恶意程序应该是完全按照视频教程来做的。相比教程,该恶意程序程序除了改动图标,所用的端口一模一样。


    20160804235629899002.png


     在进行这款SpyNote恶意程序的安装过后,程序首先会将自己的图标从手机上移除。另外,该应用并没有采用任何混淆机制。它还会与IP地址为141.255.147.193的C&C服务器进行TCP通讯,端口号2222,如下图所示。

    20160804235631748003.png

    用Cerbero profiler查看Dalvik字节码
    20160804235632868004.png

     SkyNote开启一个Socket连接

      如上图所示,SpyNote在此Socket连接中,采用硬编码的SERVER_IP和SERVER_PORT值。不过用Android分析工具Androguard就可以做个extractor。


    20160804235632619005.png



     用上面的spynote.C2.py脚本对APK文件中的这些值进行解析,可得出下面这些代码。



    [Python] 纯文本查看 复制代码
      #!/usr/bin/python
      import sys
      from sys import argv
      from androguard.core.bytecodes import apk
      from androguard.core.bytecodes import dvm
      #---------------------------------------------------
      # _log : Prints out logs for debug purposes
      #---------------------------------------------------
      def _log(s):
      print(s)
      if __name__ == "__main__":
      if (len(sys.argv)
      _log("[+] Usage: %s [Path_to_apk]" % sys.argv[0])
      sys.exit(0)
      else:
      a = apk.APK(argv[1])
      d = dvm.DalvikVMFormat(a.get_dex())
      for cls in d.get_classes():
      #if 'Ldell/scream/application/MainActivity;'.lower() in cls.get_name().lower():
      if 'dell/scream/application/MainActivity;'.lower() in cls.get_name().lower():
      c2 = ""
      port = ""
      string = None
      for method in cls.get_methods():
      if method.name == '':
      for inst in method.get_instructions():
      if inst.get_name() == 'const-string':
      string = inst.get_output().split(',')[-1].strip(" '")
      if inst.get_name() == 'iput-object':
      if "SERVER_IP" in inst.get_output():
      c2 = string
      if "PORT" in inst.get_output():
      port = string
      if c2 and port:
      break
      server = ""
      if port:
      server = "{0}:{1}".format(c2, str(port))
      else:
      server = c2
      _log('C&C: [ %s ]' % server)



    虽说现在SpyNote似乎还并没有大规模被黑客们利用,其广泛利用或许也只是时间问题。

    附使用教程



    下载地址.txt

    48 Bytes, 下载次数: 59

    售价: 10 下载币  [记录]

    回复

    使用道具 举报

  • TA的每日心情

    6 天前
  • 签到天数: 73 天

    [LV.6]常住居民II

    发表于 2016-12-20 12:05:52 | 显示全部楼层
    楼主教程在哪里
  • TA的每日心情
    开心
    2017-1-9 20:31
  • 签到天数: 12 天

    [LV.3]偶尔看看II

     楼主| 发表于 2016-12-20 12:44:00 来自手机 | 显示全部楼层
    压缩包附带 ,不过是英文的…
  • TA的每日心情
    无聊
    7 天前
  • 签到天数: 8 天

    [LV.3]偶尔看看II

    发表于 2016-12-20 17:37:54 | 显示全部楼层
    汗 下载币不够啊
  • TA的每日心情
    擦汗
    2017-2-16 16:15
  • 签到天数: 41 天

    [LV.5]常住居民I

    发表于 2016-12-22 09:54:07 | 显示全部楼层
    哪个是教程。。。
  • TA的每日心情
    擦汗
    6 天前
  • 签到天数: 48 天

    [LV.5]常住居民I

    发表于 2016-12-30 12:11:55 | 显示全部楼层
    那个是教材啊啊啊
  • TA的每日心情
    擦汗
    2017-1-3 08:23
  • 签到天数: 13 天

    [LV.3]偶尔看看II

    发表于 2017-1-3 08:25:27 | 显示全部楼层
    这个不错    谢谢楼主了
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    关闭

    站长推荐上一条 /1 下一条

    关注微信赢邀请码

    QQ|Archiver|手机版|网站地图|网页地图|SSS安全论坛 ( 黔ICP备15010987号  

    GMT+8, 2017-2-25 23:49 , Processed in 0.501627 second(s), 36 queries .

    Powered by SSS团队 X3.2

    © 2014-2015 Comsenz Inc.

    快速回复 返回顶部 返回列表