霸道安装:伪装FlashPlayer应用木马分析报告


发布人:admin分类:网络安全浏览量:33发布时间:2017-12-12

阿里移动安全技术团队截获了一款用户无法取消、终止或者卸载的木马,包括使用未更新的安全软件也不能有效帮助用户阻止该木马的霸道安装。用户安装木马后深度隐藏,之后进行大量的信息窃取和远程控制,包括交易短信窃取,盗打电话及完全控制手机。

一,木马概述

该木马短小精悍,大小仅为19k,通过伪装成FlashPlayer来欺骗用户进行安装,安装之后,仿冒FlashPlayer应用图标:

二,木马行为及危害

2.1释放文件,霸道安装

一旦点击运行,该木马首先在data目录下创建文件,通过此文件与远程黑客服务器进行实时数据与命令的交互。然后,以FlashPlayer需要“Get video codec access”的理由来诱导用户激活设备管理器。如果用户选择“Acitivate”,则进入木马的控制逻辑;如果用户选择“Cancel”,则木马不断启动激活任务管理器的界面,中断用户的正常操作,强制霸占系统顶层界面,迫使用户选择激活设备管理器。

一般用户根本无法取消、终止或者卸载该木马。使用普通安全软件此时也是形同虚设,无法帮助用户有效阻断该木马的霸道行为。

2.2 深度隐藏,信息窃取,远程控制

用户被迫选择激活设备管理器后,首先会隐藏图标和激活任务管理,以实现完美隐藏和防止用户卸载等功能;其次窃取用户手机的联系人信息,盗取用户短信信息,通过短信拦截实时截获和存储短信信息 ;并会以http post方式与远程黑客服务器进行数据交互和命令交互。通过实时数据和命令的交互,黑客可通过用户手机实现短信转发,盗打电话等功能。黑客可以用户手机为跳板,以获取的联系人为目标进行欺诈等行为。

2.3 目前国外已经发现第二个变种

SHA1:2c1cb7860ab26de15f0104b6076dc2eb51931588,与第一个样本的主要区别在上线url地址发生变化。

三,木马的详细分析

3.1  MainActivity入口模块

主要功能:在data/data/temp文件,设置url链接(用于数据保存和上传),该木马以http post的方式进行数据的交互;启动木马主要的服务模块MMSService;隐藏应用程序的图标和SmsReceiver类

3.2 MMSService模块

主要功能:以FlashPlayer需要“Get video codec access”的理由来诱导用户激活设备管理器。如果选择“Acitivate”,则进入木马的控制逻辑;如果选择“Cancel”,则木马以100毫秒时间间隔不断启动激活任务管理器的界面,强制霸占系统顶层界面,迫使用户选择激活设备管理器,防止用户卸载。

3.3 交互的主要指令

3.4 其他模块

UssdService 盗打电话

UpdateService模块,实时存储短信拦截模块中获取的短信 

SendService模块,以短信形式发送数据

SmsReceiver模块,短信劫持

BootReceiver模块,开机启动

ExpService模块:获取联系人和手机号

四,总结       

此款木马特点是安装手段霸道,用户下载点击安装后便无法取消,即使使用普通安全软件也无法阻止,对用户威胁巨大。目前安卓市场存在多家第三方Android应用市场和大量手机论坛,在为用户提供便捷服务的同时,也埋下了巨大的安全隐患。

* 消息来源:阿里聚安全病毒分析系列,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21454972(PV) 页面执行时间:98.841(MS)
  • xml
  • 网站地图