AVL Pro实战山寨”应用宝”

By | 2014年5月21日

  今天,一位AVL Pro用户上报了一个被AVL Pro报风险的应用。经过分析人员确认分析,发现该应用为一款伪装为”应用宝”的流氓软件,会在后台静默向用户推送各种广告,对用户无实际作用,浪费用户流量并一定程度破坏用户手机体验。

使用AVL Pro对应用进行分析

  利用AVL Pro对其进行分析,可以发现该应用图标为默认图标(android机器人),且无主Activity——即无主界面,用户无法正常启动该应用。同时可以看到,该应用包名为com.tencent.android.qqdownload且程序名为”应用宝”,但其签名信息并未被AVL Pro标识为官方签名,且根据其签名内容可以看出,该发行者与腾讯毫无关联,我们可以推断该应用为一个盗版应用。而且该应用包含广告件,且申请了开机启动权限,从AVL Pro的分析结论来看,该应用企图伪装为”应用宝”,后台自启动并推送广告获取利益,对用户无实际意义,只能消耗用户流量资费。一旦安装用户毫无感知,可惜被AVL Pro揪了出来。
    AVL-1AVL-2
                 图1 AVL Pro分析结果

            AVL-3
              图2 AVL Pro模拟启动应用,无法启动

对应用进行静态代码以及对比分析

  既然该应用程序名称为应用宝,那么我们下载腾讯官方版本的应用宝与其进行对比分析看看。 首先,我们可以看到官方版本的应用宝拥有图标与认证的正版签名,拥有主Activity,能由AVL Pro正常启动。
  AVL-4AVL-5
                图3 正版应用分析结果

            AVL-6
            图4 正版应用宝可正常启动,有完整界面

  对代码进行比对,发现盗版的流氓”应用宝”仅仅只拥有极少量的类和函数,代码极其简单,与正版应用差别极大。
AVL-7
            图 5 盗版与正版代码结构对比

  对其代码进行分析,该应用 启动后,会在后台开启一个NotificationService服务。该Service保持后台运行,获取前端用户正在运行的应用包名,若该应用不是系统应用,且之后用户切换了应用,则启动线程向前端展示贴片广告,让用户以为是前端运行的应用推送的广告。欺骗用户的同时,给用户体验带来了极大的损害,同时为流氓软件作者赚取了广告费。
AVL-8AVL-9AVL-10
            图 6 恶意代码调用流程

AVL-11
            图7 在前端应用中展示贴片广告

小结

  该流氓应用伪装知名应用,后台保持长期运行,向用户推送广告赚取广告费,但对用户无实际用途,消耗用户流量与相关资费,破坏用户手机体验,消耗用户资费。建议用户可以下载AVL移动安全团队AVL Pro对此木马进行查杀。 同时推荐用户安装AVL Pro对手机各类应用进行分析,做到对自己手机中安装的应用知根知底才能保证自身手机、财产安全。

发表评论

电子邮件地址不会被公开。 必填项已用*标注