欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

揭秘仿冒应用的神秘面纱

来源:本站整理 作者:佚名 时间:2018-09-12 TAG: 我要投稿

图2-13  从服务器获取sp号码等信息
后台发送短信执行扣费操作,如图2-14:

图2-14  发送短信
部分SP扣费短信截图,如图2-15:

图2-15  发送短信
该应用程序加载了本地文件yfpay.cf,读取后得到插件yf.apk,并启动恶意程序updateServices服务,如图2-16:

图2-16  启动恶意服务updateServices
在恶意服务中,动态注册广播,时刻监听用户手机短信接收,并用反射调用fy.apk里面的恶意代码实现用户短信截取,如图2-17:

图2-17  调用插件中的恶意程序
yf.apk插件分析:恶意程序调用该插件中的方法,主要实现了后台静默订购的功能。
运行插件yf.apk中的方法,拦截用户短信,如图2-18:

图2-18  获取短信并实现短信拦截
在恶意插件yf.apk中实现MR校验,即对短信做有效处理,实现订购,如图2-19:

图2-19  对有效短信做二次回复确认
并后台联网将用户信息上传到服务器,如图2-20:http://******zou.com:8080/******

图2-20  联网上传短信信息
最后消除订购痕迹,如图2-21:

图2-21  删除订购信息
程序中涉及到的本地文件utopay.jar和BDTX140解密后得到插件Plugin2.apk以及本地文件jzfdat解密获得的插件jiepayplugin.apk等均执行了类似操作,故不作源码分析。最后该恶意程序启动该应用中的恶意代码类SS.class类,再次获取用户收件箱短信内容,以确保确认监听到用户手机中的恶意短信并拦截删除,不被用户发现,达到静默扣费的目的,如图2-22:

图2-22  再次获取设备收件箱短信
并对短信进行筛选,实现指定短信删除,如图2-23:

图2-23   筛选包含指定信息的短信
获取最新的短信记录并指定删除,达到静默订购的目的,如图2-24:

图2-24  删除短信
此外,该应用还包含广告插件,在后台加载广告等信息,如图2-25:

图2-25  后台启动广告插件
三、同特征样本统计
通过分析、提取恶意特征,利用暗影安全实验室的现有数据资源查找到与此仿冒样本拥有共同恶意特征的样本达到1000+个,通过抽样测试,可以确定都为同一类型样本,且大部分为游戏破解类软件和色情类软件,占比分别达到46%和50%,其余类型样本则不足4%,应用类型占比如下图,图 3-1:

图 3-1  抽样样本类别占比
而且我们统计了进入今年来该类型样本出现的时间,发现在寒暑假出现频率较高,统计图表如下。

图 3-2  该类型样本2018年出现时间频次统计
四、总结
1.通过对该样本的分析,我们可以确定该应用为恶意应用;
2.病毒主要行为之一是收集用户隐私数据,如账号窃取,流氓骚扰,这些行为可能是为后期其他恶意操作做准备,也有可能通过信息售卖直接获取利益;
3.该病毒样本中还包含了一些第三方的广告插件,这无疑是该样本又一个获取利益的手段,无论是经济利益还是达到推广的目的。

上一页  [1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载