北极熊蠕虫分析报告

By | 2014年4月5日

概述

中国电信网络安全团队(SOC)在4月3日向国家互联网应急处理协调中心(CNCERT)和中国反网络病毒联盟(ANVA)上报了一起手机用户遭病毒感染群发短信的安全事件。

国内著名IT咨询网站cnbeta.com在4月4日http://www.cnbeta.com/articles/280361.htm一文中对该手机病毒予以披露。该病毒在4月3日晚间20:15左右通过手机短信进行了爆发式传播。

AVL移动安全团队随后对该手机病毒进行深入分析,发现其是Android下首个通过短信传播自身的类蠕虫病毒,并且在短时间内完成了快速的扩散。

当Android用户手机感染了该病毒后,其会读取用户手机通信录上的所有联系人,并向他们群发内容为“嘿,XXX,我发现一个非常神奇的APP,特别好用,打开[某地址]下载安装吧!”的短信,若点击链接,则会下载并安装包含该病毒的应用程序“北极熊”。

下面会对该病毒进行详细分析,介绍其传播的方式,并且说明如何使用AVL Pro对其进行分析和查杀。

样本分析

该北极熊蠕虫病毒基本信息如下:

icon

该病毒伪装为一款”糗事百科”应用。

ad2

其会启动后台服务,首先向远程服务器地址http://game.ad61.com/smssvs.php?did=%s&os=%s发送指令请求,并上传手机设备信息。

H0ZH](_}SFP[1VX9I]~S__Y111

其控制指令列表如下:

_G6W6U34G3S~P[BCMS19S5H

随后该病毒会遍历用户手机的联系人列表,并对其中联系人姓名不包含 “爸”、“妈”、“姨”、“伯”、“爷”、“奶”、“老公”关键字的手机号码发送指定的短信内容。

code

该病毒除了会在后台遍历手机联系人信息并且私自发送包含有病毒下载链接的诱骗短信实现传播自身以外,该病毒还捆绑了大量的流氓广告插件,其中包含banner广告、通知栏广告等等,并且会在第三方应用程序界面上弹出恶意的广告。

ad1 ad3

传播方式

北极熊蠕虫病毒通过感染用户手机,遍历手机联系人信息,并且在远程指令的控制下私自对用户的联系人发送包含有病毒下载链接的诱骗短信。

由于诱骗短信发送给用户所熟悉的人,导致收到短信的人很容易放松警惕、轻易相信并下载安装,而导致病毒能够迅速的传播。

具体传播途径如下图所示:

liucheng

用户查杀与防范

AVL移动安全团队AVL Pro率先实现对该手机病毒的查杀,用户可以下载安装AVL Pro避免手机感染恶意病毒。

用户还可以安装AVL Pro的应用分析器插件对该类恶意代码进行辨识和防范。

以此北极熊蠕虫为例,使用AVL Pro应用分析器插件对其进行分析。

在“应用信息”中,包含有大量可疑的APK内嵌文件,其名字包含“pop”、“banner”、“push”等,疑似为广告件相关。

在“组件信息”中,对应用权限的分析结果显示该应用存在大量的敏感权限,例如读取用户联系人信息、发送短信、编辑短信、读取短信、接收短信、修改系统设置等等。其中,读取联系人信息、发送短信、接收短信等敏感权限明显非该类应用(书籍阅读)应该申请的权限。用户应该警惕这些可疑行为,该应用存在损害用户隐私信息(读取短信权限、读取联系人信息权限)、恶意扣费或资费消耗(发送短信)的风险。

在“静态分析”中,发现该应用存在付费相关API的调用。并且,该调用是由一个后台服务的OnCreate入口函数直接调用——即该后台服务启动后,可能会在用户不知情的情况下执行相关API发送短信(sendTextMessage),造成资费损耗。

综合上述应用分析器插件的分析结果,表明该应用可能存在私自发送短信和侵犯用户隐私行为,为疑似恶意的应用。

用户可以下载AVL移动安全团队AVL Pro对上述恶意应用进行查杀。

发表评论

电子邮件地址不会被公开。 必填项已用*标注