警惕另类Activity“劫持”

By | 2014年3月13日

AVL移动安全团队最近发现一类木马私自发送扣费短信,上传用户隐私到控制服务器,并且采用了一种Activity劫持手段诱骗用户安装和防止卸载,给用户手机安全带来威胁。

诱骗安装

木马被安装后,监听重启,锁屏等消息,并自动触发联网下载恶意APK文件:

10CC3B82-53B0-42A8-BEDE-76B6FD3F7364

当下载完成,会触发安装管理器,但此时显示的却是一个伪造的“协议申明”,并骗取用户点击,当用户误点击取消后,木马应用就被安装在用户手机上了。

90E5BB6D-2CD6-4555-B38D-566A8A23DFC8E1F2D7C2-9919-4768-882F-1B60E2540BB1

接着,木马会再次尝试激活设备管理器,并且同样伪造一个界面骗取用户点击,从窗体层次来看,此时顶层的Activity为设备管理器,所以当用户点击确认时,实际上完成了设备管理器的激活操作:

02715F59-A20A-46DA-8E4F-77FE9C51AB75259A4921-F5E6-404C-8026-62549E5EFABE

防止卸载

当用户尝试从设备管理器取消激活木马应用时,木马会弹出“设备管理器异常”的提示,并且阻止用户点击退回或者返回桌面,导致只能重启手机:

8014C780-24BE-445F-9A11-A458C87270AC4223EEE1-E617-4DAE-9AA0-DE54C53204F0

木马小结

该木马通过改变当前Top Activity的layout层次,而不是通过覆盖一个伪造的Activity,这是因为木马需要诱骗用户点击执行静默安装和激活设备管理器操作。这种通过修改Activity layout层次实现覆盖效果的行为,还能够更改原始Activity组件对用户点击的默认响应行为。

95476390-8B1F-4A5C-8CE8-348C71472F2F

用户可以下载AVL Pro对上述木马进行查杀。

One thought on “警惕另类Activity“劫持”

发表评论

电子邮件地址不会被公开。 必填项已用*标注