病毒播报之色情网站挂马

By | 2014年9月17日

Post by saya

样本来源

AVL移动安全团队近期发现一个挂马网站http://hao.*****.com/video/,该网站利用情色作为宣传卖点,诱导用户点击下载恶意apk.

恶意性描述

该木马运行时会检测杀软环境,联网上传用户已安装程序列表、手机固件等信息,获取配置,执行私发短信、删除回执短信并自动回复的操作。此外,还会联网推送其他应用,给用户带来经济损失、资费消耗

样本分析

该木马将服务器地址加密存放在assets目录下的billing_request.ini文件中。此外还会检测已安装应用中是否包含LBE、腾讯手机管家、360等杀软,如果存在,则不进行后面的联网操作。相关数据同样做了加密处理。。

图 1billing_request.ini文件解密

图 2检测应用列表中是否有安装以上杀软

联网解析返回值,执行私发付费短信的操作。动态注册短彩信监听器,删除指定短信息,并自动回执

图 3联网解析返回值,更新服务器地址、获取短信列表

图 4解析获取屏蔽、回执列表

总结

该样本利用色情网站挂马诱导传播,能偷发短信、窃取用户隐私信息,造成用户隐私泄露以及经济损失,更会刻意躲避绕过杀软。建议用户养成良好的上网习惯,AVLPro可对其进行有效查杀。。

    安装时扫描结果:

    详细信息:

发表评论

电子邮件地址不会被公开。 必填项已用*标注