揭秘仿冒应用的神秘面纱

一、概述

我们生活在移动数据的期间,手机已经伴跟着我们生活的方方面面,而手机端利用迅速盘踞市场,成为人们手机中的掌上玩物,让人爱不释手,可是,在大年夜量利用井喷式的增长历程中,导致市场大年夜量利用聚积,种类繁多,鱼目稠浊,这些利用良莠不齐,以致有些为恶意利用。因为应用人数较多,伴跟着越来越多的仿冒利用参杂此中,给用户群体造成丧掉也是伟大年夜的。

近期暗影安然实验室发明一款仿迅雷图标的利用,该利用使用仿冒迅雷的图标,诱惑用户下载应用,运行后猖狂发送扣费短信,获取用户隐私。

二、恶意法度榜样样本分析

2.1 样本概述

文件布局:

图2-1样本布局目录

恶意行径描述:

1、该法度榜样是一款仿造迅雷图标的移动利用,该利用法度榜样安装运行后可以应用不雅看或下载视频等功能。

2、该利用法度榜样运行后,后台获取用户短信信息以及联系人号码信息,私自获取手机号以及IMEI、IMSI等信息,发送到指定url,造成用户这些隐私数据泄露风险。

3、造访指定办事器,获取订购SP信息,在用户不知情或未授权的环境下,私自发送扣费短信,造成用户经济丧掉。

4、该利用在用户后台私自造访收集加载广告信息,造成用户流量耗损。

2.2 法度榜样启动流程

2.2.1 恶意法度榜样启动流程图

法度榜样启动流程导图,如图2-2

图2-2恶意法度榜样履行流程

2.2.2 运行界面

法度榜样安装后的桌面图标以及运行后的首界面,如图2-3:

图2-3法度榜样图标及首界面

2.2.3 恶意法度榜样运行布局代码

1. 病毒启动后反省收集确认是否衔吸收集,假如没收集,则会提示退出,否则会继承履行,动态注册广播,并监听非home键广播,显指正常界面,如图2-4:

图2-4联网启动主界面

同时,在用户未知情的环境下,启动恶意法度榜样,如图2-5:

图2-5加载并启动恶意法度榜样代码

启动线程池,读取本地资本文件,初始化并调用各类插件,履行恶意操作,如图2-6:

图2-6启动恶意法度榜样线程池

2.3 隐私偷取阐发

病毒在用户不知情的环境下私自获取用户短信信息,私自获取手机号以及IMEI、IMSI等信息,并保存到日志中,上传办事器,然后删除具有隐私偷取属性。

利用启动后,后台获取用户短信信息,如图2-7:

图2-7获取用短信

获取用户手机号码以及设备硬件等信息,如图2-8,图 2-9:

图2-8获取用户手机号码

图2-9获取用户手机设备ID以及位置等信息

同时,监听手机广播获取用户短信信息,并记录保存到日志,上传办事器,并删除短信,如图2-10:

图2-10获取用户短信记录到日志并删除

根据版本不合上传到不合办事器,解密后获得:

http://奸淫奸淫.225.59:8091/奸淫**

http://奸淫奸淫ypush.com奸淫奸淫

解密之前地址为,如图2-11:

图2-11解密前的网址

2.4 恶意扣费阐发

2.4.1 恶意法度榜样扣费流程

经由过程以上源码阐发,我们梳理出恶意利用法度榜样的扣费流程导图,如图2-12:

图2-12恶意法度榜样履行扣费道理:

2.4.2 扣费流程源码阐发

法度榜样运行后,从办事器获取所必要的信息,在后台履行发送短信操作,如图2-13:

[1] [2] [3]下一页

图2-13从办事器获取sp号码等信息

后台发送短信履行扣费操作,如图2-14:

图2-14发送短信

部分SP扣费短信截图,如图2-15:

图2-15发送短信

该利用法度榜样加载了本地文件yfpay.cf,读取后获得插件yf.apk,并启动恶意法度榜样updateServices办事,如图2-16:

图2-16启动恶意办事updateServices

在恶意办事中,动态注册广播,时候监听用户手机短信接管,并用反射调用fy.apk里面的恶意代码实现用户短信截取,如图2-17:

图2-17调用插件中的恶意法度榜样

yf.apk插件阐发:恶意法度榜样调用该插件中的措施,主要实现了后台静默订购的功能。

运行插件yf.apk中的措施,拦截用户短信,如图2-18:

图2-18获取短信并实现短信拦截

在恶意插件yf.apk中实现MR校验,即对短信做有效处置惩罚,实现订购,如图2-19:

图2-19对有效短信做二次回覆确认

并后台联网将用户信息上传到办事器,如图2-20:http://奸淫奸淫zou.com:8080/奸淫奸淫

图2-20联网上传短信信息

着末打消订购痕迹,如图2-21:

图2-21删除订购信息

法度榜样中涉及到的本地文件utopay.jar和BDTX140解密后获得插件Plugin2.apk以及本地文件jzfdat解密得到的插件jiepayplugin.apk等均履行了类似操作,故不作源码阐发。着末该恶意法度榜样启动该利用中的恶意代码类SS.class类,再次获取用户收件箱短信内容,以确保确认监听到用户手机中的恶意短信并拦截删除,不被用户发明,达到静默扣费的目的,如图2-22:

图2-22再次获取设备收件箱短信

并对短信进行筛选,实现指定短信删除,如图2-23:

图2-23筛选包孕指定信息的短信

获取最新的短信记录并指定删除,达到静默订购的目的,如图2-24:

图2-24删除短信

此外,该利用还包孕广告插件,在后台加载广告等信息,如图2-25:

图2-25后台启动广告插件

三、同特性样本统计

经由过程阐发、提取恶意特性,使用暗影安然实验室的现稀有据资本查找到与此仿冒样本拥有合营恶意特性的样本达到1000+个,经由过程抽样测试,可以确定都为同一类型样本,且大年夜部分为游戏破解类软件和色情类软件,占比分手达到46%和50%,另外类型样本则不够4%,利用类型占比如下图,图 3-1:

图 3-1抽样样本种别占比

而且我们统计了进入今年来该类型样本呈现的光阴,发明在寒暑假呈现频率较高,统计图表如下。

图 3-2该类型样本2018年呈现光阴频次统计

四、总结

1.经由过程对该样本的阐发,我们可以确定该利用为恶意利用;

2.病毒主要行径之一是网络用户隐私数据,如账号偷取,地痞骚扰,这些行径可能是为后期其他恶意操作做筹备,也有可能经由过程信息售卖直接获图利益;

3.该病毒样本中还包孕了一些第三方的广告插件,这无疑是该样本又一个获图利益的手段,无论是经济利益照样达到推广的目的。

上一页[1] [2] [3]下一页

五、处置规划以及安然建议

1.建议用户前进警醒性,应用软件到正规官网下载或者利用市廛进行下载正版软件,避免从论坛等下载软件,可以有效的削减该类病毒的损害。关注”暗影安然实验室””民众,”号,获取最新实时移动安然状态,避免给您造成丧掉和迫害。

2.为防止病毒变种,用户发明已经安装此病毒的,可以请专业职员阐发此病毒。

3.安然必要做到防患于未然,可以应用恒安嘉新公司的APP要挟检测与态势阐发平台进行阐发对Android样本提守信息并进行关联阐发和检测;

4.用户发明感染手机病毒软件之后,可以向“12321收集不良与垃圾信息举报受理中间”或“中国反收集病毒同盟”进行举报,使病毒软件能够第一光阴被查杀和拦截。

声明

本申报内容不代表任何企业或任何机构的不雅点,仅是作者及所在团队作为技巧喜欢者在事情之余做的一些考试测验性钻研和履历分享。

本申报虽是基于技巧团队觉得靠得住的信息撰写,团队力争但不包管该信息的准确性和完备性,读者也不应该觉得该信息是准确和完备的。这是主如果由于如下一些来由(包括但不限于):

第一,互联网的数据无处不在,我们所能打仗到的是极为有限的抽样样本,本身不具备完备性。

第二,不合的技巧措施获取的数据有必然的局限性。比如,终端agent获取的数据只能涵盖已支配终真个范围;爬虫技巧的时效性和完备性受限于爬虫的规模和能力;收集侧探针技巧受限支配探针的节点数量并只能对生动的行径进行感知。

第三,纵然已经纳入到阐发范围的样本,也会因为技巧团队规则和算法的选择造成统计结论误差。

第四,技巧团队所得出的结论仅仅反应其数字本身,进一步主不雅得出好坏性的、排名性的、结论性的不雅点是危险的。由于安然事故每每伴跟着营业的良性增长,开放程度,司执法例以及玄色财产链的演进等多方面的身分,是一个繁杂的生态问题。

此外,团队不包管文中不雅点或述说不会发生任何变化,在不应时期,团队可发出与本申报所载资料、意见及推想不同等的申报。团队会合时更新相关的钻研,但可能会因某些规定而无法做到。

着末,纵然未经作者的书面授权许可,任何人也可以引用、转载以及向第三方传播。但盼望同时能附上完备的原文或至少原始出处。这样的斟酌在于:第一,避免选择性的部分引用造成的不需要的误解;其次,避免某些内容的差错经原作者发明并及时调剂后没有体现在转载的文中。

谢谢大年夜家的理解!

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包