欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

揭秘仿冒应用的神秘面纱

来源:本站整理 作者:佚名 时间:2018-09-12 TAG: 我要投稿

一、概述
我们生活在移动数据的时代,手机已经伴随着我们生活的方方面面,而手机端应用迅速占据市场,成为人们手机中的掌上玩物,让人爱不释手,可是,在大量应用井喷式的增长过程中,导致市场大量应用堆积,种类繁多,鱼目混杂,这些应用良莠不齐,甚至有些为恶意应用。由于使用人数较多,伴随着越来越多的仿冒应用参杂其中,给用户群体造成损失也是巨大的。
近期暗影安全实验室发现一款仿迅雷图标的应用,该应用利用仿冒迅雷的图标,诱惑用户下载使用,运行后疯狂发送扣费短信,获取用户隐私。
二、恶意程序样本分析
2.1 样本概述
文件结构:

图2-1  样本结构目录
恶意行为描述:
1、该程序是一款仿造迅雷图标的移动应用,该应用程序安装运行后可以使用观看或下载视频等功能。
2、该应用程序运行后,后台获取用户短信信息以及联系人号码信息,私自获取手机号以及IMEI、IMSI等信息,发送到指定url,造成用户这些隐私数据泄露风险。
3、访问指定服务器,获取订购SP信息,在用户不知情或未授权的情况下,私自发送扣费短信,造成用户经济损失。
4、该应用在用户后台私自访问网络加载广告信息,造成用户流量消耗。
2.2 程序启动流程
2.2.1 恶意程序启动流程图
程序启动流程导图,如图2-2

图2-2  恶意程序执行流程
2.2.2 运行界面
程序安装后的桌面图标以及运行后的首界面,如图2-3:

图2-3  程序图标及首界面
2.2.3 恶意程序运行结构代码
1. 病毒启动后检查网络确认是否连接网络,如果没网络,则会提示退出,否则会继续执行,动态注册广播,并监听非home键广播,显示正常界面,如图2-4:

图2-4  联网启动主界面
同时,在用户未知情的情况下,启动恶意程序,如图2-5:

图2-5  加载并启动恶意程序代码
启动线程池,读取本地资源文件,初始化并调用各种插件,执行恶意操作,如图2-6:

图2-6  启动恶意程序线程池
2.3 隐私窃取分析
病毒在用户不知情的情况下私自获取用户短信信息,私自获取手机号以及IMEI、IMSI等信息,并保存到日志中,上传服务器,然后删除具有隐私窃取属性。
应用启动后,后台获取用户短信信息,如图2-7:

图2-7  获取用短信
获取用户手机号码以及设备硬件等信息,如图2-8,图 2-9:

图2-8  获取用户手机号码

图2-9  获取用户手机设备ID以及位置等信息
同时,监听手机广播获取用户短信信息,并记录保存到日志,上传服务器,并删除短信,如图2-10:

图2-10  获取用户短信记录到日志并删除
根据版本不同上传到不同服务器,解密后得到:
http://******.225.59:8091/*****
http://******ypush.com******
解密之前地址为,如图2-11:

图2-11  解密前的网址
2.4 恶意扣费分析
2.4.1 恶意程序扣费流程
通过以上源码分析,我们梳理出恶意应用程序的扣费流程导图,如图2-12:

图2-12  恶意程序执行扣费原理:
2.4.2 扣费流程源码分析
程序运行后,从服务器获取所需要的信息,在后台执行发送短信操作,如图2-13:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载