手机病毒“main-plugin-a”分析报告
1. 病毒基本情况
病毒伪装成游戏应用,诱导用户下载安装。点击运行后闪退,没有运行界面。
运行后该病毒会私自获取root权限,并后台下载安装未知应用,**未接信息,接收黑客发出的短信指令,根据指令发送扣费短信、拨打指定电话,给用户带来严重的资费消耗问题。
2. 动态分析
安装截图:
http://it.rising.com.cn/d/file/it/dongtai/20160224/5328760.png
运行后闪退,无正常界面:
http://it.rising.com.cn/d/file/it/dongtai/20160224/1735010.png
3. 代码分析
恶意代码结构:
http://it.rising.com.cn/d/file/it/dongtai/20160224/5016260.png
样本不完整,AM文件缺失。
恶意代码分析:
获取用户设备信息DeviceID、MacAddress等:
http://it.rising.com.cn/d/file/it/dongtai/20160224/6735010.png
读取assets中的文件:
http://it.rising.com.cn/d/file/it/dongtai/20160224/7672510.png
将memnut、busybox等控制文件写入系统,并提权:
http://it.rising.com.cn/d/file/it/dongtai/20160224/2360010.png
通过memnut命令私自安装未知应用certapp.apk、ETransportConf.apk并提权:
http://it.rising.com.cn/d/file/it/dongtai/20160224/7203760.png
**短信消息:
http://it.rising.com.cn/d/file/it/dongtai/20160224/5485010.png
获取未接短信中的信息:
http://it.rising.com.cn/d/file/it/dongtai/20160224/2203760.png
filterSmsSPV函数处理收到的短信命令:
http://it.rising.com.cn/d/file/it/dongtai/20160224/7047510.png
根据短信命令调用sendSms函数私发短信:
http://it.rising.com.cn/d/file/it/dongtai/20160224/8766260.png
获取用户收件箱信息,获取需要删除的扣费回执信息ID:
http://it.rising.com.cn/d/file/it/dongtai/20160224/328760.png
**手机通话状态:
http://it.rising.com.cn/d/file/it/dongtai/20160224/8453760.png
私自拨打电话:
http://it.rising.com.cn/d/file/it/dongtai/20160224/953760.png
调用endcall函数挂断电话:
http://it.rising.com.cn/d/file/it/dongtai/20160224/9235010.png
调用deletelog函数删除通话记录:
http://it.rising.com.cn/d/file/it/dongtai/20160224/8141260.png
4. 瑞星手机安全助手查杀
http://it.rising.com.cn/d/file/it/dongtai/20160224/172510.png
5. 安全建议
i. 恶意样本通常最爱伪装成各类小游戏诱骗用户下载,因此不建议用户安装非正规渠道下载的游戏类应用。
ii. 遇到不能正常打开和运行的应用应该提高警惕,并立即卸载。
iii. 建议用户安装专业的手机安全软件,没有手机安全软件的用户可以使用永久免费的瑞星手机安全助手(下 载地址 h t t p://pc.rising.c o m.cn/Android/),养成良好的使用习惯,定期为手机扫描体检,远离病毒威胁。
作者:Scarlett
页:
[1]