安全路透社
当前位置:安全路透社 > 网络转载 > 正文

“变脸窃贼”病毒伪装手机应用,私装短信扣费游戏

近期,腾讯反诈骗实验室接到用户反馈,手机突然收到大量扣费短信息。经过反病毒工程师的分析确认,这是用户手机感染了暗扣类游戏所致,用户感染暗扣病毒后,会不断收到提示订阅服务的短信。 

14918171997816.png!small 

1、病毒分析                      

用户下载到的应用本身,从功能或者界面看上去都挺正常的,甚至于它申请的权限都比大多数大牌应用要少,似乎这就是个还算正常的良民应用。

14918174788277.png!small 

细细观察就会发现该病毒会从云端获取配置参数,这些参数包括延迟时间,分运营商,分地域等,病毒正是利用这些参数控制应用的功能. 一转身就诱导用户安装了一款短信扣费游戏攫取利益 。

14918175158888.png!small 

14918175285080.png!small 

如果用户授予了完全的短信权限,该病毒还会尝试清除作案记录。

14918175353930.png!small 

此外,我们研究了变脸窃贼更新的历史版本,发现其主要更新就是精细化云端配置参数。

14918175443141.png!small 

2、受影响的应用

14918175558156.png!small 

3、病毒更新详细分析分析

3.1 更新安装示意图

14918181165779.png!small 

3.2 安装代码执行流程   

14918181204658.png!small 

3.3 关键代码详细分析

软件启动后,从云端下载配置文件,并通过配置文件中的下载链接下载暗扣病毒样本。

 (1) 在主界面中调用Dsp类的handle方法 

14918181264472.png!small 

(2) 在handle方法中调用process方法

14918181327880.png!small 

(3) 在process方法中进行下载配置文件、获取配置文件中恶意软件的下载信息、下载恶意软件并安装

1491818140731.png!small 

(4) 在process方法中调用DspInfoLoader类的getDspInfo方法下载并获取配置文件中的参数信息.获取配置文件的下载路径如下

http://meipi****.gz.bcebos.com/menghuanhuanyuan.properties

14918181468324.png!small 

调用init的方法获取配置信息 

14918181518995.png!small 

配置文件信息:

14918181568391.png!small 

(5)在process方法中调用fitProcess方法获取配置文件的信息,此信息为恶意软件的下载信息,包括包名和下载链接。

14918181612504.png!small 

(6) 在process方法中调用DspMonitor类,启动线程下载恶意软件并进行安装

通过循环下载并安装恶意软件。

14918181757955.png!small 

(7) 在APKUtils类中安装恶意文件

14918181821836.png!small 

针对此类病毒,腾讯手机管家无需升级即可全面查杀,同时腾讯手机管家以及腾讯移动安全实验室提醒您:   

1、手机用户应通过正规安全的渠道下载官方版支付、工具、游戏等各类手机APP。用户可在腾讯手机管家“软件管理”下载应用,或在类似应用宝等规模较大的安全电子市场进行下载,确保绿色安全,尽量避免在论坛、小型软件资源站等平台下载软件所引发的安全风险。

2、手机用户应养成使用安全软件来保护手机安全的良好习惯。手机用户可下载安装如腾讯手机管家一类的手机安全软件,定期给手机进行体检和病毒查杀,并及时更新病毒库。针对最新流行肆虐危害较大并且难以清除的病毒或者漏洞,可下载专杀工具及时查杀或修复, 提升手机安全。 

*本文作者:腾讯手机管家(企业帐号)

未经允许不得转载:安全路透社 » “变脸窃贼”病毒伪装手机应用,私装短信扣费游戏

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册