官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
高危木马现身代码托管平台
一款高度复杂的Android远程访问木马(Remote Access Trojan,RAT)近日出现在GitHub平台,对全球移动设备用户构成重大安全威胁。该恶意软件由用户"Huckel789"以"Android-RAT"为名公开存储,宣称具备完全免杀(Fully Undetectable,FUD)能力,可绕过现代安全防护措施和杀毒检测系统。这种通过合法平台托管分发危险载荷的做法,标志着移动恶意软件传播方式出现令人担忧的新趋势。
低门槛高危害的攻击工具
这款RAT通过基于网页的界面进行操作,无需PC端安装,使得不同技术水平的攻击者都能轻易使用。其分发手段利用了GitHub作为可信平台的地位,可能绕过通常会拦截可疑域名恶意下载的安全过滤器。该恶意软件功能全面,包括键盘记录、凭证劫持、勒索软件功能,以及诱导用户授予必要权限的精密社交工程工具。
尖端反检测技术
安全研究人员Huckel789发现,该变种采用专门设计的先进隐匿技术,可规避主流杀毒解决方案和VirusTotal扫描。其内置反模拟器和虚拟机检测机制,确保仅在真实Android设备上运行,而在安全分析环境中保持休眠状态。这种选择性激活策略使安全专业人员使用的传统恶意软件分析流程变得异常复杂。
该Android RAT展现出惊人的持久化能力,可突破超强电池优化模式和各种电源管理限制(常见于MIUI等中国定制ROM)。其资源高效的设计支持持续后台运行,同时消耗最少的系统资源,使得通过性能监控检测变得极其困难。
高级隐匿与通信架构
该恶意软件的通信基础设施采用复杂的命令与控制(C2)运作方式。与使用简单base64编码进行服务器通信的传统RAT不同,此变种采用AES-128-CBC加密配合PKCS填充,保护受感染设备与命令服务器之间的所有数据传输。这种加密实现确保网络流量分析难以发现恶意通信,同时高级混淆技术可防止通过静态代码分析发现嵌入的服务器IP地址。
RAT的"冻结模式"功能在隐匿操作方面展现出特殊创新,在24小时内将数据传输限制在1-3MB,同时保持对操作者命令的响应能力。这种方法最大限度地减少了可能触发安全监控系统的网络特征,同时确保可靠的远程访问能力。该恶意软件还能通过精密的投放器模块将有效载荷注入合法应用,使得传统安全扫描机制极难识别初始感染途径。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)