0×1前言
近期,金山毒霸安全实验室通过“捕风”威胁感知系统的数据监控,发现一款名为“西瓜看图”的恶意软件。该软件主要通过“荒野行动电脑版”、“抖音电脑版”等虚假下载器进行传播。该虚假器运行后,实际安装的是“蜻蜓助手”安卓模拟器,并由“蜻蜓助手”推广安装“西瓜看图”木马远控软件。该软件通过云控手段,进行主页劫持、图标推广、软件推广、广告弹窗等恶意行为。由于该木马会在用户磁盘中创建“Mint”的目录,保存云控插件,所以我们特此命名为“Mint”木马。
0×2传播和推广Mint木马的传播路径:
虚假下载器运行界面:
该虚假下载器无签名,无版本信息,点击“立即安装”会下载运行“蜻蜓助手”,而不是用户预想的“荒野行动网易版”。
“蜻蜓助手”安装完毕后,会默认勾选“西瓜看图”(Mint木马家族的母体),用户如稍有不慎点击“立即启动”就会被植入木马软件。0×3模块和流程
功能模块Mint云控木马主要为6个功能:信息收集,广告弹窗,软件推广,图标推广,主页劫持,更新变异。
其中,广告弹窗,软件推广,图标推广和主页劫持的具体内容,均由云端进行配置,通过下发文件的形式,在本地解析执行;
更新变异,则保证云控载体不断更新和变形,以躲避杀软查杀和更新功能。
功能模块图:
信息收集,主页劫持,广告等相关URL信息:
执行流程Mint木马利用傀儡进程注入、BHO机制(参考甲氧胺福林中国白癜风治疗去哪里
