欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

安卓色情木马病毒过去与现在

来源:本站整理 作者:佚名 时间:2017-09-14 TAG: 我要投稿

图6-11中国**工程公司网站
中国**工程公司是一家集商业设计、施工、服务于一体的装饰公司,专业从事家居、写字楼、商铺、酒店等设计。在企业官网看到联系人*进,电话:150***573,地址:郑州市***路政**大厦*座**室。
信息总汇:
姓名:*进
电话:150***573
地址:郑州市***室
6.2 恶意推广溯源
在上面的”激情片库”中,病毒安装之后会从服务器获取推广软件的下载地址,创建快捷方式,经过代码分析,解密发现推广服务器地址为139.**.**.152:8080。如图 6-12、6-13、6-14所示:

 
图6-12色情病毒请求推广地址
私自联网获取恶意推广的下载地址等信息:
 

图6-13服务器返回的推广内容
查询IP地址发现其租用的是***服务器
 

图6-14服务器类型
6.3 支付溯源
根据微信支付接口和支付宝支付接口的介绍,个人申请支付接口只需要进行实名认证填写相关资料同时上传APP注册成功即可。
以微信为例。如图 6-15所示:

 
图6-15微信注册流程
注册开发者账号的时候需要进行实名认证,填写手机号以及身份证号,成功注册账号后进行开发者资质认证;第二步注册APP,填写app相关信息,等待审核。如图 6-16所示:

 
图6-16微信注册相关信息
申请成功后,微信会发送给申请者一个绑定应用的APPID。如图 6-17所示:
 

图6-17微信提供的商户号及APPID
一般以”wx”开头,在上面“色色看片”病毒中我们找到了它的APPID。如图 6-18所示:
 

图6-18病毒内包含的APPID
根据此APPID就可以定位到指定商户,这样就锁定了此病毒的收费人员
6.4 小结
根据病毒相关信息我们追溯到金米网,金米网是一个域名注册商,其中恶意域名占23.86%,由此可见当前对域名注册商对旗下域名管理不规范,应当强制实行域名注册实名制,从而可以对恶意域名实施监控和追踪,未来病毒变种不断增多,相关溯源结果也会越来越准确;同时对于色情类诱骗支付病毒,目前使用第三方支付插件进行支付,通过分析其申请流程可以发现,开发这需要上传APK,获取插件中的必要字段之后,才能正常使用插件支付,因此第三方支付插件应该对开发者上传的APK进行严格审核。
7 防范及处置建议
安全从自身做起,建议用户在下载软件时,到针对的应用商店进行下载正版软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害;
安全需要做到防患于未然,可以使用APP威胁检测与态势分析平台进行分析对Android样本提取信息并进行关联分析和检测;
对于收费转账的QQ号码或者微信号码记性追踪治理,从收益环节阻断该类软件对用户侵害。
 

上一页  [1] [2] [3] [4] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载