欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

魔波广告恶意病毒简析

来源:本站整理 作者:佚名 时间:2016-11-21 TAG: 我要投稿

1.病毒介绍
魔波广告恶意病毒通过仿冒浏览器,播放器和一些游戏等进行传播,一旦用户手机不慎被感染,该病毒将立即下载提权文件来获取 root权限,频繁推送广告,监控用户短信记录,私自发送扣费短信,注入大量恶意文件到手机系统用于守护病毒,防止病毒被卸载。
病毒样本的下载来源大多是来自国外的云服务器如cloudfront.net和amazonaws.com ,软件名通常为全英文如WatermelonShare、CalcMaster等,推送的广告内容以及下载的软件也都是国外软件,以此推测此病毒的目标应该是国外用户;从病毒功能及代码注释信息上看, 此病毒是国内制造的,因此推测此病毒是国内制造,国外流行的典型广告木马 ,我们根据感染量较大的一个样本中的一些线索推测木马作 者可能是在福建福州,一家从事app市场的公司。
病毒感染量变化趋势:

 
2.样本信息
包名:com.mobo.mrclean
证书:1D90BFFEC2A26B6CC50151757CBCEE04
Assets目录下的子包

 
3.恶意行为
1)病毒运行后,立即下载提权文件来获取root权限,夺取系统的控制权;
2)注入大量恶意文件到手机系统,阻止病毒被卸载;
4)下载并静默安装恶意子包至手机rom内 ;
5)频繁推送恶意广告,影响用户正常使用手机;



4.病毒执行流程

5.详细分析
1)病毒母包行为
加载子包assets/a

调用in1方法解码assets/c,assets/s,生成mcr.apk和libdt.so

调用in2方法加载libdt.so

libdt.so中通过in3方法了mcr.apk

libdt.so的in4方法通过loadClass方式调用了mcr.apk的com.android.provider.power.Power类中的init方法

com.android.provider.power.Power类中的init方法

initcore方法中通过getIsFirst方法判断程序是否第一次被运行

若是首次运行则调用Door.init(context);方法初始化配置并启动服务b和服务d,激活广告功能

服务b,启动线程DetectAppTask并通过timerSet定时持续发送广播

检测包名通过之后,线程DetectAppTask发送弹窗广播Action”com.fpt.alk.clk”

广播接收器通过接收广播弹出广告

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载