欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

gpSystem:一种可私自注册Google账号的病毒

来源:本站整理 作者:佚名 时间:2018-07-20 TAG: 我要投稿

近期安天移动安全和猎豹移动联合捕获到病毒gpSystem,该病毒植入在应用程序private,程序运行后便隐藏图标,进行下载提权相关文件、联网获取数据模拟点击注册google账号、上传用户账号、固件等信息等一系列恶意行为,造成用户资费损耗和隐私泄露风险。目前安天移动安全联合猎豹移动已实现对该病毒的检测查杀,建议用户安装猎豹安全大师等集成安天移动安全反病毒引擎的安全产品,定期进行病毒检测,一旦被感染需及时卸载恶意应用。以下是针对该病毒的详细分析。
一、样本基本信息

该恶意应用被下载安装后将隐藏图标,下载提权相关文件、私自提权,解密静默安装恶意程序到系统目录,修改多个系统api调用的返回值,联网获取数据模拟点击注册google账号,还会私自下载恶意子包,上传用户账号、固件等信息。
二、恶意信息流程图

三、动态分析
运行后多次申请root权限:

四、样本分析
程序运行,隐藏图标:

获取root权限:


联网下载提权模块:

执行提权方案:

提权后安装apk:

解密子包,启动两个子包服务:


拷贝到系统目录和sdcard:

子包分析:

androidntv(gpSystem): MD5:95EEA5CD39A722507D4781AB3067E5F8 dmrdroid(com.android.dmr): MD5:62D26656061AB328A079FB6FB4E84460 gpSystem:      
启动SuService:

hook多个系统函数:

判断是否能够注册google账号:

判断辅助功能是否启动,用来模拟点击注册google账号:

开始hook:

hook多个系统api,修改返回值,以防止影响自动注册:

hook之后启动注册界面:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载