导读:随着移动互联网的快速发展,用户可以“随时、随地、随心”地享受互联网业务带来的便捷,不管是工作、娱乐、生活、购物等方方方面都在使用着各种APP,既省时又省力的为我们提供很多方便。但是,互联网诈骗、虚假仿冒、勒索无处、“杀猪盘”等网络安全威胁无处不在,用户在享受APP给大家带来便利之时,也要时刻注意我们的个人隐私、财产是否受到安全威胁。
近期,暗影实验室发现两款程序名称叫“微信”、“百度”的应用程序,研究员深入分析后,发现这两款并不是官方应用,而是伪装微信、百度图标,诱骗用户下载,启动后私自下载其他恶意程序,采用“热补丁”的方式,频繁加载恶意子包,实现模拟点击广告、订阅服务等恶意行为,在此,暗影实验室提醒广大网民,从正规官方渠道下载正版应用,虚假仿冒APP会通过网盘、论坛、QQ群等渠道推广,诱骗用户下载,其中一些仿冒APP会挂有木马程序,安装运行后会对用户的个人信息、财产造成严重的危害,安装图标如下。
表1-1样本基本信息
序号 | 应用安装名称 | MD5 | 版本号 |
---|---|---|---|
1 | 微信 | CF4F0067612E7FADEB46141D953B449F | 2.2.0 |
2 | 百度 | EFEFF228CDD622A1B1B93ADD63442456 | 6.9 |
(1)仿冒“百度”应用
该应用主要通过从assets目录下加载恶意执行代码,下载安装其它应用。
应用运行界面:
图2.1应用安装界面
代码结构对比:该应用将自己代码主要集成在主类下。
图2.2代码结构对比
清单文件对比:与正版应用相比该应用注册了很多广播。
图2.3清单文件对比
加载执行assets目录下代码,执行完成删除代码文件。
图2.4加载恶意代码
接收网络连接变化广播。下载apk文件。
图2.5下载apk文件
发送安装通知,点击通知即安装apk包。
图2.6安装apk包
安装完成,启动应用。
图2.7启动应用
(2)仿冒“微信”应用
该应用通过不断从服务器获取恶意子包来更新DEX文件,加载其它恶意代码,主要实现模拟点击广告、服务。
加载DEX文件结构。
图3.1 DEX文件结构
应用运行界面如下:应用开始提示检查更新,之后便以请求网络失败为由退出应用并隐藏图标。
图3.2应用运行界面
所有的操作主要集成在以下几个服务中。
图3.3主体服务
从服务器请求获取任务。并保存在本地数据库中。
图3.4请求任务
在本地创建数据库,将从服务器获取的任务信息保存到数据库中。
图3.5将任务信息保存到数据库中
从数据库中获取任务信息。
图3.6从数据库中获取任务信息
模拟点击完成任务。
图3.7模拟点的任务
从服务器获取恶意子包不断更新当前dex文件并加载执行其它恶意代码。
图3.8更新恶意子包
加载其它恶意代码可能会执行窃取用户隐私数据等其它恶意操作,模拟点击订阅付费服务,将会造成用户财产的损失。
通过暗影实验室的“APP全景态势与案件情报溯源挖掘系统”发现平台上还存在大量的仿冒类恶意程序,如下表所示:
表3-1扩展样本
(1)当应用请求开启设备管理器时,一定要谨慎。该权限的开启可以修改锁屏密码、恢复出厂设置。
(2)手机被锁屏可以通过删除设备中/data/data/包名、/daa/app/包名两个文件夹,然后重启即可解锁。
(3)坚持去正规应用商店下载软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害。关注”暗影实验室”公众号,获取最新实时移动安全状态,避免给您造成损失和危害。
(4)安装好杀毒软件,能有效的识别已知的病毒。
*本文作者:暗影安全实验室,转载请注明来自FreeBuf.COM