欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

“变脸窃贼”病毒伪装手机应用,私装短信扣费游戏

来源:本站整理 作者:佚名 时间:2017-04-18 TAG: 我要投稿

近期,腾讯反诈骗实验室接到用户反馈,手机突然收到大量扣费短信息。经过反病毒工程师的分析确认,这是用户手机感染了暗扣类游戏所致,用户感染暗扣病毒后,会不断收到提示订阅服务的短信。 

 
1、病毒分析                     
用户下载到的应用本身,从功能或者界面看上去都挺正常的,甚至于它申请的权限都比大多数大牌应用要少,似乎这就是个还算正常的良民应用。

 
细细观察就会发现该病毒会从云端获取配置参数,这些参数包括延迟时间,分运营商,分地域等,病毒正是利用这些参数控制应用的功能. 一转身就诱导用户安装了一款短信扣费游戏攫取利益 。

 

 
如果用户授予了完全的短信权限,该病毒还会尝试清除作案记录。

 
此外,我们研究了变脸窃贼更新的历史版本,发现其主要更新就是精细化云端配置参数。

 
2、受影响的应用

 
3、病毒更新详细分析分析
3.1 更新安装示意图

 
3.2 安装代码执行流程  

 
3.3 关键代码详细分析
软件启动后,从云端下载配置文件,并通过配置文件中的下载链接下载暗扣病毒样本。
 (1) 在主界面中调用Dsp类的handle方法

 
(2) 在handle方法中调用process方法

 
(3) 在process方法中进行下载配置文件、获取配置文件中恶意软件的下载信息、下载恶意软件并安装

 
(4) 在process方法中调用DspInfoLoader类的getDspInfo方法下载并获取配置文件中的参数信息.获取配置文件的下载路径如下
http://meipi****.gz.bcebos.com/menghuanhuanyuan.properties

 
调用init的方法获取配置信息

 
配置文件信息:

 
(5)在process方法中调用fitProcess方法获取配置文件的信息,此信息为恶意软件的下载信息,包括包名和下载链接。

 
(6) 在process方法中调用DspMonitor类,启动线程下载恶意软件并进行安装
通过循环下载并安装恶意软件。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载