gpSystem:一种可私自注册Google账号的病毒

二、恶意信息流程图

三、动态阐发

运行后多次申请root权限:

四、样本分析

法度榜样运行,暗藏图标:

获取root权限:

联网下载提权模块:

履行提权规划:

提权后安装apk:

解密子包,启动两个子包办事:

拷贝到系统目录和sdcard:

子包阐发:

androidntv(gpSystem): MD5:95EEA5CD39A722507D4781AB3067E5F8 dmrdroid(com.android.dmr): MD5:62D26656061AB328A079FB6FB4E84460 gpSystem:

启动SuService:

hook多个系统函数:

判断是否能够注册google账号:

判断帮助功能是否启动,用来模拟点击注册google账号:

开始hook:

hook多个系统api,改动返回值,以防止影响自动注册:

hook之后启动注册界面:

[1] [2]下一页

会先停止其他影响注册的办事,然后am敕令启动注册界面:

界面启动之后,RegisterAccessbilityService经由过程监听包名“com.google.android.gsf.login”触发注册界面启动事故:

判断sdk版本,应用不合的要领注册google账号:

经由过程帮助功能获取界面上所有控件信息,之后联网得到注册数据:

判断是否是测试版本,测试版本则注册测试账号,不是测试版本则联网获取注册数据:

注册google账号:

经由过程帮助功能模拟点击:

com.android.dmr:

MMLogManagerService办事中,联网获取下载设置设置设备摆设摆设信息:

下载并加载子包:

下载子包:http://www.supportdatainput.top:8080/modules/abroad.zip

加载子包:

abroad.zip阐发

拷贝用户账号等数据文件到指定目录,解析数据并上传,上传cc为:http://game.zxcvbnmasdfghjkl.xyz:8080/game/api

获取上传数据:

拷贝用户账号信息等文件到指定目录:

从/data/system/users/0、/data/data/com.google.android.gms、/data/data/com.google.android.gsf、/data/data/com.android.vending这4个目录拷贝数据库或设置设置设备摆设摆设文件,主要从这些文件获取用户账号、authtoken(授权令牌)、gcm、固件、GooglePlay等相关信息:

解析文件款式后,将数据上传办事器:

网络用户账号信息等数据可能用于共同gpSystem注册google账号相关

近期安天移动安然和猎豹移动联合捕获到病毒gpSystem,该病毒植入在利用法度榜样private,法度榜样运行后便暗藏图标,进行下载提权相关文件、联网获取数据模拟点击注册google账号、上传用户账号、固件等信息等一系列恶意行径,造成用户资费损耗和隐私泄露风险今朝安天移动安然联合猎豹移动已实现对该病毒的检测查杀,建议用户安装猎豹安然大年夜师等集成安天移动安然反病毒引擎的平安产品,按期进行病毒检测,一旦被感染需及时卸载恶意利用以下是针对该病毒的具体阐发

一、样本基础信息

该恶意利用被下载安装后将暗藏图标,下载提权相关文件、私自提权,解密静默安装恶意法度榜样到系统目录,改动多个系统api调用的返回值,联网获取数据模拟点击注册google账号,还会私自下载恶意子包,上传用户账号、固件等信息

相关CC:

五、总结

该病毒首先经由过程联网获取root规划,下载并履行提权模块,随后开释两个恶意法度榜样,拷贝到系统目录以防被卸载恶意法度榜样经由过程帮助功能模拟点击注册google账号,并且经由过程改动系统函数返回值(轻忽按键、锁屏无效等),防止其影响注册流程,以前进注册成功率同时还会下载恶意代码,网络用户账号、authtoken(授权令牌)、固件、gcm、GooglePlay等信息,可能用于共同自动注册相关 近年来,各类玄色财产链慢慢形成,黑产的进击手段也越来越专业化,会使用一系列手段保护自己,对此安然厂商应该持续关注并提升抗衡能力,为移动安然保驾护航

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包