霸道安装,伪装FlashPlayer应用木马分析报告

简介:

 2015年05月11日 15:36  2519

       阿里移动聚安全技术团队截获了一款用户无法取消、终止或者卸载的木马,包括使用未更新的安全软件也不能有效帮助用户阻止该木马的霸道安装。用户安装木马后深度隐藏,之后进行大量的信息窃取和远程控制,包括交易短信窃取,盗打电话及完全控制手机,危害极大。目前阿里钱盾已经可以全面查杀,有效保护用户安全。

一,木马概述

       该木马短小精悍,大小仅为19k,通过伪装成FlashPlayer来欺骗用户进行安装,安装之后,仿冒FlashPlayer应用图标:

   霸道安装,伪装FlashPlayer应用木马分析报告-木马-阿里聚安全

二,木马行为及危害


2.1  释放文件,霸道安装

               一旦点击运行,该木马首先在data目录下创建文件,通过此文件与远程黑客服务器进行实时数据与命令的交互。然后,以FlashPlayer需要“Get video codec access”的理由来诱导用户激活设备管理器。如果用户选择“Acitivate”,则进入木马的控制逻辑;如果用户选择“Cancel”,则木马不断启动激活任务管理器的界面,中断用户的正常操作,强制霸占系统顶层界面,迫使用户选择激活设备管理器。

霸道安装,伪装FlashPlayer应用木马分析报告-聚安全-阿里聚安全

一般用户根本无法取消、终止或者卸载该木马。使用普通安全软件此时也是形同虚设,无法帮助用户有效阻断该木马的霸道行为。


2.2  深度隐藏,信息窃取,远程控制

用户被迫选择激活设备管理器后,首先会隐藏图标和激活任务管理,以实现完美隐藏和防止用户卸载等功能;其次窃取用户手机的联系人信息,盗取用户短信信息,通过短信拦截实时截获和存储短信信息 ;并会以http post方式与远程黑客服务器进行数据交互和命令交互。通过实时数据和命令的交互,黑客可通过用户手机实现短信转发,盗打电话等功能。黑客可以用户手机为跳板,以获取的联系人为目标进行欺诈等行为。


2.3 目前国外已经发现第二个变种

SHA1:2c1cb7860ab26de15f0104b6076dc2eb51931588,与第一个样本的主要区别在上线url地址发生变化。

三,木马的详细分析

3.1  MainActivity入口模块
       主要功能:在data/data/temp文件,设置url链接(用于数据保存和上传),该木马以http post的方式进行数据的交互;启动木马主要的服务模块MMSService;隐藏应用程序的图标和SmsReceiver类

霸道安装,伪装FlashPlayer应用木马分析报告-阿里移动安全-阿里聚安全

        3.2  MMSService模块


       主要功能:以FlashPlayer需要“Get video codec access”的理由来诱导用户激活设备管理器。如果选择“Acitivate”,则进入木马的控制逻辑;如果选择“Cancel”,则木马以100毫秒时间间隔不断启动激活任务管理器的界面,强制霸占系统顶层界面,迫使用户选择激活设备管理器,防止用户卸载。

              霸道安装,伪装FlashPlayer应用木马分析报告-短信窃听-阿里聚安全

霸道安装,伪装FlashPlayer应用木马分析报告-阿里移动安全-阿里聚安全

        3.3  交互的主要指令

霸道安装,伪装FlashPlayer应用木马分析报告-伪装FlashPlayer-阿里聚安全

霸道安装,伪装FlashPlayer应用木马分析报告-木马-阿里聚安全

3.4 其他模块

             UssdService 盗打电话

霸道安装,伪装FlashPlayer应用木马分析报告-聚安全-阿里聚安全

UpdateService模块,实时存储短信拦截模块中获取的短信

霸道安装,伪装FlashPlayer应用木马分析报告-阿里移动安全-阿里聚安全

SendService模块,以短信形式发送数据

霸道安装,伪装FlashPlayer应用木马分析报告-短信窃听-阿里聚安全

SmsReceiver模块,短信劫持

霸道安装,伪装FlashPlayer应用木马分析报告-阿里移动安全-阿里聚安全

BootReceiver模块,开机启动

霸道安装,伪装FlashPlayer应用木马分析报告-伪装FlashPlayer-阿里聚安全

ExpService模块:获取联系人和手机号

霸道安装,伪装FlashPlayer应用木马分析报告-木马-阿里聚安全

四,总结       

        此款木马特点是安装手段霸道,用户下载点击安装后便无法取消,即使使用普通安全软件也无法阻止,对用户威胁巨大。目前安卓市场存在多家第三方Android应用市场和大量手机论坛,在为用户提供便捷服务的同时,也埋下了巨大的安全隐患。阿里钱盾团队提醒您,仅从官方站点或可信任的应用市场下载手机软件,以避免受到手机病毒的危害。此外,针对此类手机病毒,阿里钱盾已经实现完美阻断查杀。



本文来自合作伙伴“阿里聚安全”.


相关文章
|
7月前
|
云安全 安全 网络协议
安全研究所 | 伪装搜狗输入法的木马分析
近年来,黑灰产业的犯罪团伙数量急剧上升,特别是在与办公软件相关领域。这些团伙主要针对国内企业用户,通过伪装成合法的办公软件进行精心设计的诈骗和诱导行为,其主要目的是欺骗企业员工下载并激活木马病毒,以此来窃取公司资金或获取企业敏感文件。
|
3月前
|
安全 索引
抓到一只灰鸽子和一匹木马/广告程序
抓到一只灰鸽子和一匹木马/广告程序
|
云安全 安全 开发工具
一觉醒来,小R的服务器被暴力破解,被植入挖矿程序?
一觉醒来,小R的服务器被暴力破解,被植入挖矿程序?
153 0
|
存储 安全 前端开发
反制Cobaltstrike的那些手段(一)
反制Cobaltstrike的那些手段
932 0
|
安全 Java fastjson
反制Cobaltstrike的那些手段(二)
反制Cobaltstrike的那些手段
394 0
|
云安全 监控 安全
Java开发远程调试易埋隐患,JDWPMiner挖矿木马后门分析
近日,阿里云安全监测到一种利用JDWP RCE漏洞进行挖矿的恶意攻击,对用户资产危害极大,近期传播有所上升,提醒广大用户注意防护。
1040 0
Java开发远程调试易埋隐患,JDWPMiner挖矿木马后门分析
|
安全 Java C#
开始防破解--该死的杀毒软件
开始防破解--该死的杀毒软件
226 0
|
Web App开发 监控 安全
阿里云盾提醒网站被WebShell木马后门分析与对策
收到阿里云用户朋友的反馈,说运行了一年的网站突然遭到黑客的攻击,系统cpu一直保持在100%,有进程也干不掉,然后客户就进行杀毒了,然后就把所有的exe文件都杀了,然后系统也就很多功能不正常了
9624 0
|
安全
谨防沦为DLL后门木马及其变种的肉鸡
卡巴斯基实验室近期发现有一种名为“DLL后门木马”的恶意软件活动比较频繁。 该木马采用Delphi语言编写,未加壳,但其具有伪造的数字签名,而且其变种竟然高达390多种。此木马主要通过网页挂马等方式感染用户计算机,危害性比较大。
929 0
|
安全
变形金刚热映黑客借机“下毒” 用户谨防木马
6月24晚凌晨,备受全球“金粉”期待的大片《变形金刚2》火热登陆北京各大院线,票房再现“井喷”之势。与此同时,金山毒霸云安全中心从该片众多下载链接中,检测、拦截到诸多木马和病毒。金山毒霸反病毒专家李铁军提醒广大互联网用户:支持正版影片,谨慎选择互联网下载链接。
1009 0