本文插图

本文插图
计步机制触发与 C2 服务器通信在保活广播接收器组件中 ， 实现了一个简单的计步器来触发木马与 C2 服务器的通信 。

本文插图

本文插图
更新攻击命令计步数量达到阀值后 ， 启动 HBOxMrf 木马服务拉取 C2 服务器的攻击命令 ， C&C 服务器地址为：http://94.156.77.32/gate.php目前服务已经无法正常访问 。 客户端与 C2 服务器交互流程如下：
1.首先拉取 C2 服务器下发的攻击命令 。

本文插图
2.如果响应命令为 ||no|| 则注册到 C2 服务器成为肉鸡设备

本文插图
3.如果命令包含 ||youNeedMoreResources|| 则下载 payload 并保存到 data/data/包名/apk/system.apk 文件中 。

本文插图

本文插图
4.更新攻击命令到 payload 等待完成攻击 。

本文插图

本文插图
忽略电池优化Cerberus 木马除了定时触发保活广播 ， 还通过将自己加入电池优化白名单中来增强持续在系统中执行恶意活动的可能 。

本文插图
窃听短信消息保活广播接收器同时也在接收短信消息类型的系统广播 ， 当收到此类型广播时则读取出短信内容和发信人并保存到配置文件中 ， 为后续执行恶意活动窃取短信消息做准备 。

本文插图
激活设备管理员Cerberus 木马除了通过隐藏图标的方式防止感染者卸载自身外 ， 还通过激活设备管理员权限来防止感染者卸载自身 ， 同时也为了防止其他安全软件查杀卸载 Cerberus 木马 。

本文插图
启动后台服务诱导启用无障碍服务Cerberus 木马的所有敏感操作都严重依赖于无障碍服务的启用 ， 其通过循环拉起 “启用无障碍服务界面” 来诱导感染者对其进行无障碍服务授权 。

本文插图

本文插图
请求窃听短信所需的权限请求窃取短信消息和联系人所需的权限 。 启动设备锁根据 lockDevice 标记执行设备锁操作 。

本文插图

本文插图

• 手机大魔王Sirocco开始推送第二波Android 10更新，诺基亚8
• 环球Tech中国移动率先发布5G消息应用：支持iOS和Android
• 数码八叔魅族基于Android 10的Flyme 8.1稳定版发布，10款机型尊享首升权
• 埃尔法哥哥vue移动端开发时，客户端如何判断当前设备是Android还是IOS
• 信用卡■信用卡逾期后，教你怎么做到“不恶意拖欠”，“不涨利息”？
• 钛媒体中国移动推出5G消息App，覆盖iOS/Android用户
• 火科技11，体验肯定要比鸿蒙OS更强！，谷歌宣布即将发布android
• 数字e家使用过时淘汰的Android手机安全吗？
• 科创板日报被雪扬科技控诉恶意抄袭 平安好医生坚称言论不实
• 科创板日报平安好医生坚称言论不实，被雪扬科技控诉恶意抄袭