315曝光手机预装木马分析报告

By | 2014年3月18日

概述

在今年的315晚会上首次披露了国内某些提供手机预装服务的厂商涉嫌在预装应用过程中植入木马应用到用户手机ROM中,这些木马应用主要用于窃取部分用户隐私信息并上传进行牟利,并且在手机非root下无法进行删除。

AVL移动安全团队在先前的《警惕”手机预装木马”窃取隐私》《“手机预装木马”窃取隐私后续》两篇文章中就对此类手机预装木马情况进行了播报。

样本分析

Trojan/Android.Romzhandian.a家族

样本MD515F2F3B3A5EDA7E1757CBFEFAD03D389
包名com.jisuzhuangji.notify
应用程序名数据服务(hct_counter)
应用图标无图标
文件大小26,838 字节

木马安装后会启动后台服务,并执行窃取用户隐私上报到指定URL任务。

75958429-E73C-4FC6-826D-636C445A6CDD

木马应用会收集例如IMEI、IMSI、MAC地址以及安装的应用程序列表等信息,并且上传至http://gdszhz001.cui9.com/getphonereturn_des.aspx

2D5759E2-10DA-4371-B531-9EA85DA651FF

Trojan/Android.hfapservice.a家族

样本MD510BFE1EB3E8E978B5153475AB3B58441
包名com.google.hfapservice
应用程序名Data Service
应用图标无图标
文件大小396,417 字节

该类木马具有如下包结构,伪装成系统数据服务应用。

8000B59E-FF68-4C4E-94B1-A7CDD9826701

并且能够在后台私自安装和卸载应用。

12DE64FA-D616-47D2-82BA-2A987D781B52DE5E3B2E-D5E8-4551-9A53-8AA96D44FE43

用户可以下载AVL移动安全团队AVL Pro对上述恶意应用进行查杀。

发表评论

电子邮件地址不会被公开。 必填项已用*标注