Monthly Archives: 九月 2014

Xposed恶意插件

Post by 南山

安天移动安全团队最近发现了一个使用Xposed恶意插件来实现隐藏和伪装自己的恶意样本,并通过HOOK Activity相关的系统API,来获取重要Activity上的用户输入,如支付宝、手机银行、QQ等登录界面的账号和密码。

Xposed框架是一款可以在不修改APK的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。(需root权限)

一、隐藏自己。

HOOK–android.app.ApplicationPackageManager->getInstalledApplications

HOOK–android.app.ApplicationPackageManager->queryIntentActivities

HOOK–android.app.ActivityManager->getRunningServices

HOOK–android.app.ActivityManager->getRunningAppProcesses

在上述api调用完成后,即afterHookedMethod中,将过滤下列相关信息。

  1. 应用本身的信息”com.android.os.backup”;
  2. 提权应用的信息”eu.chainfire.supersu”、”com.koushikdutta.superuser”、”com.qihoo.permroot”;
  3. xposed框架应用”de.robv.android.xposed.installer”;

如getInstalledApplications被hook后的处理方法:

二、伪装成系统应用。

HOOK–getPackagesForUid

在通过getPackagesForUid获取指定id的包名时,hook该api方法后,将”com.android.os.back”替换成”android”,伪装成系统应用。

三、干涉应用权限的检查。

HOOK–android.app.ApplicationPackageManager->checkPermission

HOOK–android.app.ContextImpl->checkPermission

hook了两处权限检查,只要是qihao360的权限检查,则一律拦截,而对该应用本身的权限检查,则全部放行。

四、获取Activity中EditText输入的内容。

HOOK–android.widget.TextView->setInputType

HOOK–android.app.Activity->onPause

hook住setInputType方法后,将触发这个操作的类名保存下来。

HOOK住Activity->onPause方法后,在确认有EditText输入操作发生后,将会获取该Activity所属于的包名、标题等信息,在进一步的操作中会继续获取EditText中的输入内容和Hint内容,然后保存到数据库,等待上传。

通过这种方式,可以获取如支付宝、手机银行、QQ等重要应用中的账户信息。

该样本利用Xposed恶意插件实现隐藏、伪装,并窃取重要Activity的输入信息,达到了以低成本低开发难度来实现更多高难度的技术及行为。用户可以下载安装AVL Pro对该类木马进行检测和查杀,AVL Pro实时防护,帮助大家摆脱病毒营造良好手机环境!

病毒播报之色情网站挂马

Post by saya

样本来源

AVL移动安全团队近期发现一个挂马网站http://hao.*****.com/video/,该网站利用情色作为宣传卖点,诱导用户点击下载恶意apk.

恶意性描述

该木马运行时会检测杀软环境,联网上传用户已安装程序列表、手机固件等信息,获取配置,执行私发短信、删除回执短信并自动回复的操作。此外,还会联网推送其他应用,给用户带来经济损失、资费消耗

样本分析

该木马将服务器地址加密存放在assets目录下的billing_request.ini文件中。此外还会检测已安装应用中是否包含LBE、腾讯手机管家、360等杀软,如果存在,则不进行后面的联网操作。相关数据同样做了加密处理。。

图 1billing_request.ini文件解密

图 2检测应用列表中是否有安装以上杀软

联网解析返回值,执行私发付费短信的操作。动态注册短彩信监听器,删除指定短信息,并自动回执

图 3联网解析返回值,更新服务器地址、获取短信列表

图 4解析获取屏蔽、回执列表

总结

该样本利用色情网站挂马诱导传播,能偷发短信、窃取用户隐私信息,造成用户隐私泄露以及经济损失,更会刻意躲避绕过杀软。建议用户养成良好的上网习惯,AVLPro可对其进行有效查杀。。

    安装时扫描结果:

    详细信息: