欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

安卓色情木马病毒过去与现在

来源:本站整理 作者:佚名 时间:2017-09-14 TAG: 我要投稿

1. 概述
面对一些美女快播、美女视频、宅男电影等应用程序,你是否想安装?但可得小心点,这些应用程序不仅涉嫌传播淫秽色情内容,很多程序还被内置恶意代码,通过恶意推广以及诱骗用户支付,导致用户资费损失。此类APP大多来源于管理不规范的应用市场、论坛社区、软件站、网盘等。
2. 病毒运行整体流程
之前大多色情病毒主要是通过广告推广,后台私自向SP号码发送短信订购业务获利,目前已经演变为诱骗用户,通过第三方支付插件支付,从而实现直接获利。软件的演变及流程图如2-1所示:
 

图2-1 色情类病毒工作流程演变
3. 现状分析
3.1 病毒感染量统计分析
根据平台的分析,2014年12月份爆发了大量恶意色情应用,该类病毒的主要行为是直接或者诱导用户进行点击之后,后台向SP号码发送短信进行恶意扣费,同时会植入大量广告应用,后台私自下载推广软件及其他色情软件、创建大量快捷方式诱骗用户安装运行,会造成用户大量的流量消耗。
下图为2016年平台每月色情类病毒的发现量如图 3-1 所示:
 

图3-1 每月色情类病毒发现量
根据平台统计2014年以来色情软件经历了2014年末2015年初的爆发期和2015年末的沉寂期,到2016年又继续大量传播,总体上呈现出上升趋势。如图 3-2 所示:
 

图3-2 色情类病毒的发展趋势
4. 病毒技术原理分析
4.1 推广技术
色情软件一般都会内嵌一些广告插件,一旦投放到市场中,依靠其淫秽色情内容吸引点击量,就可以通过广告来赚钱,具体实现一般包含后台下载,或者通过创建桌面快捷方式和匿名弹窗推广。
以平台的“激情片库”为例,病毒运行后,诱导用户安装插件。如图 4-1、4-2 所示:
 

图4-1 诱导安装界面
释放并加载恶意插件代码:
 

图4-2 加载恶意插件代码
4.1.1 私自下载
该类病毒主要通过后台获取要推广的产品APP下载地址,之后私自进行下载进行推广,消耗用户手机流量。如图 4-3 所示:
 

图4-3 病毒下载代码
4.1.2 创建快捷方式
病毒后台下载推广软件,并且会私自下载其他色情视频病毒,下载之后会在用户手机桌面上创建大量快捷方式,诱导用户点击安装。如图 4-4、4-5、4-6 所示:
 

图4-4 病毒创建快捷方式代码
 

图4-5 病毒创建快捷方式代码
 

图4-6创建快捷方式后的界面
4.1.3 匿名弹窗推广
病毒会联网下载要推广软的图片,不停的匿名弹窗,用户点击即弹出安装界面,诱导用户安装运行。如图 4-7、4-8 所示:

 
图4-7病毒的下载推广代码
   

图4-8病毒推广界面
4.2 支付流程演变
4.2.1 传统扣费方式
这些批量生产的色情APP,都会内嵌一些广告插件,还会私自发送短信,恶意扣费;还有病毒会在私自发送短信的同时,拦截指定短信,从而导致用户手机支付验证短信被窃。
典型的银色魅影木马支付就是通过向SP号码发送短信扣费。病毒运行后,私自联网获取SP号码以及发送内容,并向获取的SP号码发送短信。如图 4-9、4-10 所示:
 

图4-9病毒获取扣费信息
每次都是小额扣费,但是会发送多次此类扣费短信
 

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载