欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

应用下载需警惕,“猜你妹”病毒潜伏应用市场伺机刷流氓应用

来源:本站整理 作者:佚名 时间:2017-06-30 TAG: 我要投稿

1、概述
游戏猜的正嗨的时候,突然提示系统存2在安全漏洞,吓死本宝宝有没有,在线等要不要修复? 小伙伴遇到此类提示可千万别点,这是在骗你安装恶意程序。
 

近期,腾讯移动安全实验室和腾讯反诈骗实验室就发现一款名为”猜你妹 ”恶意游戏应用潜伏于各大应用市场,在特定的条件下伺机诱骗用户安装恶意程序。
据腾讯移动安全实验室和腾讯反诈骗实验室安全工程师分析发现,该恶意游戏应用通常将自己伪装成个各种猜谜类应用,比如疯狂猜明星、疯狂猜明星2、看图猜歇后语、猜歌TFboys等。
   

      
该病毒家族开发的应用特喜欢让用户猜一猜,应用本身的行为反复无常,看上去似乎隔断时间就来作案一次。
(1) 开发者更新样本频率快
在正常版本中掺杂恶意版本,打起“游击战”,企图蒙混应用市场。
开始安全—转型病毒—恢复安全—继续投毒—恢复安全:

 
(2) 病毒的恶意行为触发路径很深,饱含满满的套路
面对安全厂商的围追堵截,开发者的猥琐智慧就会不停的进化。该病毒样本只有当用户在特定时间玩到特定关卡的时候才会”奖励”用户一款恶意广告程序。
2、样本行为详细分析
恶意样本文件com.*********r6.guess360.apk是一个猜明星的游戏应用,运行界面如下:

为了对抗反病毒软件的检测,该样本的恶意行为的触发需要综合判断多个条件,代码如下:

 
触发条件:
(1)this.e == 13,判断当前的关卡数-1是否为13
(2)!g.b(),根据时间信息判断当前时间是否符合触发条件

(3)判断要安装的应用是否已经安装了

在满足触发条件后,样本执行恶意行为,提示用户系统存在安全漏洞,并将assets目录下的应用释放安装。代码如下:

恶意行为截图如下:

安装的恶意应用伪装为系统应用,软件名为Android,包名cvoo.wa.a,主要的恶意行为是云端下载root子包,root用户手机,并含恶意广告插件,在手机屏幕上匿名弹窗,推送浮窗广告,严重影响用户使用手机。
(1)从云端下载root子包,并解密加载,下载链接:http://52.52.***.56/checker,

root子包dex结构:

root子包从云端下载root方案,并执行root操作,root方案下载链接:
http:\\cdn.gam***.org\strategy\dev_root2
http:\\cdn.gam***..org\strategy\dev_root
http:\\cdn.gam***..org\strategy\UnknownDev

下载的root方案:

(2)恶意应用在手机屏幕上匿名弹窗,推送浮窗广告,严重影响用户使用手机。

3、样本迭代变化趋势分析
腾讯移动安全实验室和腾讯安全反诈骗实验室利用自有的安全分析大数据平台,对该恶意样本进行了软件包名、开发者证书、样本hash值和传播渠道等多维度进行分析,发现该恶意样本从2015年3月起就开始在国内的各应用市场上传播,至17年6月,该样本已经从版本1.0.1迭代到1.6.4,每隔几天就会上传新的样本到应用市场,其中样本的恶意版本就混杂其中,借以绕过应用市场对其进行的安全性检测。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载