0x00 背景


近日,安卓市場上出現了一種名叫”變臉”的木馬病毒,該病毒通過在正常安卓應用程序中插入惡意扣費代碼,誘使用戶下載安裝后,在程序啟動時,拉起惡意代碼執行,用戶在使用軟件的同時,莫名其妙地被惡意扣費,手段隱蔽,用戶毫不知情。被植入惡意代碼的應用往往是下載和使用量較大的應用程序,所以攻擊面非常廣泛。

0x01 病毒行為


  1. 該病毒運行是伴隨正常應用程序同時啟動的,病毒代碼植入到正常應用中,當應用程序執行時,會伴隨拉起惡意代碼,惡意代碼解密一段自帶的加密網址,解密后訪問該網址鏈接。
  2. 該網址是一個云端控制服務器,通過給木馬下發控制指令,通知木馬是否發送扣費短信,并且扣費短信號碼也是通過云端下發到中毒手機上。所以,從木馬中無法獲取到發送扣費短信的信息和號碼等關鍵內容,具有隱蔽性。

  1. 同時木馬還注冊了攔截短信的服務,該服務會攔截短信內容,判斷短信發送方的號碼是否是以10開頭的,如果是,則屏蔽掉該短信,導致中毒手機開通的扣費服務運營商發送的短信回執無法接收到,用戶被木馬默默開通了扣費服務。

木馬安裝到手機后的啟動圖標:

p1

當用戶點擊該程序后,程序啟動:

p2

程序啟動代碼入口,可以看到,在游戲啟動的同時,也拉起了惡意代碼進行執行:

p3

木馬首先通過異或運算解密云控制服務器網址:

p4

解密后的服務器域名:

p5

連接服務器并獲取從云端獲取控制指令:

p6

對從云端獲取到的字符串信息進行解析,查找指令內容的特征:

p7

如果格式正確,則解析出號碼和內容,開始發送扣費短信:

p8

木馬注冊了攔截短信的服務:

p9

該服務屏蔽以“10”開頭的短信號碼,導致中毒手機無法接收到扣費服務運營商發送的短信回執,在用戶不知情的情況下,實現扣費。

p10

0x02 查殺和預防


目前電腦管家、手機管家和哈勃分析系統已能分析查殺。

根據統計:從去年7月到今年年初,騰訊反病毒實驗室平均每月能夠捕獲約22個同類型木馬病毒。木馬感染手機數預估為5300多臺,木馬發送的扣費服務短信,對中毒用戶的吸費總計超過5萬元以上。

0x03 安全建議


目前安卓市場有大量的應用軟件供用戶免費下載使用,黑客通過在下載量大的應用軟件和游戲中植入惡意代碼,上傳到市場上供用戶下載傳播,被植入惡意代碼的應用從外觀上看并沒有差別,執行后也沒有異常行為,但是在應用被使用的同時,惡意代碼和病毒也被悄悄地拉起并執行,它們通過發送短信,定制扣費服務等方式,在用戶不知情的情況下,對用戶進行吸費,很難察覺,會嚴重威脅用戶的賬戶隱私信息和財產安全,建議一定要從正規的市場下載APP,并用殺毒軟件進行掃描后再安裝使用,如碰到可疑文件,可使用電腦管家進行掃描或者上傳到哈勃文件分析系統進行分析。

您的支持將鼓勵我們繼續創作!

[微信] 掃描二維碼打賞

[支付寶] 掃描二維碼打賞