h游戏下载网站 绅士acg游戏安卓汉化

趋势科技在本周二（5月8日）发布的博文中表示，其移动威胁响应团队发现了一个名为“Maikspy”的恶意软件家族，这是一种可以窃取受害者个人敏感数据的双平台间谍软件。具体来讲，它针对的是Windows和Android用户，最初版本可以追溯到2016年，并通过以美国成人电影女星命名的成人游戏应用传播。

对最新的Maikspy变体的分析显示，用于传播间谍软件的恶意应用程序——一款被称为“虚拟女友（Virtual Girlfriend）”的成人游戏应用，将通过一个成人游戏网站（miakhalifagame[.]com）被下载。趋势科技发现，一个Twitter账号正在积极推广这款游戏，并通过短链接分享恶意网站链接。

针对Android 平台的Maikspy变种

最新的样本是今年3月份发现的，这个Maikspy变种（由趋势科技检测为AndroidOS_MaikSpy.HRX）针对的是Android 用户，宣传广告以“虚拟女友”成人游戏来引诱受害者访问由攻击者控制的恶意网站。

当受害者在Twitter上打开该域名的短链接时，会出现一个显示性别选择按钮的页面。选择确定之后，另一个让受害者选择他们的“第一个女朋友（first girlfriend）”，并引导他们到下载页面。

当下载的APK文件安装并启动后，它会将受感染设备的Unix时间戳发送到包含瑞典代码的电话号码（0046769438867）。趋势科技认为，这大概是用于设备的ID注册。

随后，携带Maikspy的应用程序将显示“错误：401。应用程序不兼容。卸载中...（Error: 401. App not compatible. Uninstalling…）”，试图欺骗受害者认为应用程序已从设备中删除。然而，间谍软件只是隐藏了自己并在后台运行。在那里，恶意应用程序首先会检查所需的权限，然后继续执行其例程：

窃取电话号码

窃取帐户信息

窃取已安装的应用程序名称列表

窃取联系人

窃取短信

在被上传到命令和控制（C＆C）服务器之前，被窃取的信息将被写入.txt或.csv格式。

窃取并上传上述数据之后，恶意应用程序将每60秒检查一次来自C＆C服务器的命令（CMD）。以下是完整的命令列表：

此外，在应用程序在首次安装时会打开一个在线交友网站的注册页面，以引诱受害者填写并发放他们的信用卡信息。当用户点击注册时，他们的信用卡将被控制。计划背后的攻击者不仅能够获得受害者的信用卡信息，而且还能够通过信用卡窃取资金，只要受害者不要求退款。

针对Windows平台的Maikspy变种

展开全文

对于在2017年4月发布的Maikspy的Windows变种（WORM_INFOKEY.A），用户将被诱骗下载一个MiaKhalifa.rar文件，其中包含以下屏幕截图中显示的文件：

README.txt提供了受害者关于如何关闭防病毒软件以及如何打开网络的指导，只有受害者按照指导操作了，攻击者才能够窃取并上传数据到C＆C服务器。

register.bat用于获得管理员权限。

Uninstall.exe是开源黑客工具Mimikatz的副本，该工具能够从内存中提取明文密码、哈希、PIN码和Kerberos票据。对于Maikspy间谍软件而言，Uninstall.exe被用于获取Windows帐户和密码，然后将结果写入C:\ Users \％username％\ AppData \ local \ password.txt。

Setup.exe是用于窃取数据的核心模块。与前面提到的针对Android 平台的变种一样，它会首先向C＆C服务器发送通知以注册设备。

之后，它会从以下目录中窃取.jpg、.jpeg、.png、.txt、.wav、.html、.doc、.docx和.rtf文件，以及目录的文件列表：

C:/Users /％username％/ Desktop

C:/Users /％username％/ Pictures

C:/Users /％username％/ Documents

C:/Users /％username％/ Downloads

此外，它还会窃取有关受感染计算机系统的信息，如默认浏览器、操作系统版本、Firefox版本、Chrome版本、IE版本和网络配置。

Round Year Fun和Maikspy之间的联系

趋势科技查看了推广“虚拟女友”的Twitter帐户（ID：Round Year Fun），该账户下的很多推文都在推广同一个游戏网站（roundyearfun [.]org）。除了“虚拟女友”，该网站还提供其他许多游戏应用的下载，包括在2016年用于传播Maikspy最初版本的成人游戏应用。

不仅如此，趋势科技的分析表明，该网站也被用于存储受害者数据的CC服务器。这些证据无疑透露出，Maikspy背后的攻击者同时控制着miakhalifagame[.]com和roundyearfun [.]org两个网站，而Round Year Fun这个Twitter账户同样是由其控制的。

2016年至2018年Maikspy的发展历史

Maikspy的第一个版本于2016年12月出现在Windows平台上。它通过以美国成人电影女星命名的成人游戏应用传播，能够通过fakeomegle[.]com来完成自我更新，并窃取位于桌面、图片、文档和下载文件夹中的.jpg、.jpeg、.png、.txt、.wav、.html、.doc、.docx和.rtf文件。另外，它还能够窃取诸如默认浏览器、操作系统版本、Firefox版本、Chrome版本、IE版本和网络配置等信息，并连接到107 [.] 180 [.] 46 [.] 243。

与此同时，这个间谍软件家族的第一个Android变种于2017年1月出现。同样以前面提到的成人游戏作为幌子，连接到上述C＆C服务器。它能够记录通话和窃取设备位置、短信、联系人、WhatsApp数据库等信息，并在能够利用受感染设备来录制周围的声音。下一个变种很快出现，攻击者为它添加了以下功能：窃取剪贴板信息、电话号码、安装的应用程序列表和帐户信息。但是，删除了WhatsApp数据库的功能，并改变了命令格式。

在2017年3月，另一个新的变种被发布。当受害者使用相机拍摄照片时，它可以窃取照片。代码结构和应用程序安装包的名称也发生了变化，C＆C服务器地址也切换到了使用198 [.] 12 [.] 155 [.] 84。

最后一个Windows版本出现在2017年4月，它体现出以下更改：C＆C服务器切换为198 [.] 12 [.] 155 [.] 84，添加了窃取密码功能以及盗用。

在2017年6月和12月期间，Android变种出现了以下更改：C＆C服务器切换为192 [.] 169 [.] 217 [.] 55，窃取通话记录的功能删除。并且，C＆C服务器在短时间内再次切换为了198[.] 12 [.] 149 [.] 13。

在2018年1月，用于传播Android变种的应用程序的名称已经更改为了“虚拟女友”。两个月后，C＆C服务器被切换为miakhalifagame [.] com，攻击者被发现开始使用HTTP协议来传输数据，窃取位置和图片的功能移除。

Maikspy变种与C＆C服务器之间的关系

这些年来，Maikspy背后的攻击者多次更改了域名和IP地址，但有一点却始终没有改变。那就是，所有这些域名和IP地址都是由美国一家上市互联网域名注册和网站托管公司托管的，这使得趋势科技能够相对比较容易地找出Maikspy变种与C＆C服务器之间的关系。

下图展示了Maikspy变种与198 [.] 12 [.] 155 [.] 84、roundyearfun [.] org 和192 [.] 169 [.] 217 [.]之间的连接。注意：绿色节点代表Android变种，而蓝色节点代表Windows变种。

下图展示了Maikspy变种与107 [.] 180 [.] 46 [.] 243和fakeomegle [.] com之间的连接。

最后一张图则展示了Maikspy变种与198 [.] 12 [.]149 [.] 13和miakhalifagame [.] com之间的连接。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。