首页 > 安全 > 网络安全 >

“变脸窃贼”病毒伪装手机应用,私装短信扣费游戏

2017-04-20

“变脸窃贼”病毒伪装手机应用,私装短信扣费游戏。近期,腾讯反诈骗实验室接到用户反馈,手机突然收到大量扣费短信息。经过反病毒工程师的分析确认,这是用户手机感染了暗扣类游戏所致,用户感染暗扣病毒后,会不断收到提示订阅服务的短信。

“变脸窃贼”病毒伪装手机应用,私装短信扣费游戏。近期,腾讯反诈骗实验室接到用户反馈,手机突然收到大量扣费短信息。经过反病毒工程师的分析确认,这是用户手机感染了暗扣类游戏所致,用户感染暗扣病毒后,会不断收到提示订阅服务的短信。

\

1、病毒分析

用户下载到的应用本身,从功能或者界面看上去都挺正常的,甚至于它申请的权限都比大多数大牌应用要少,似乎这就是个还算正常的良民应用。

\

细细观察就会发现该病毒会从云端获取配置参数,这些参数包括延迟时间,分运营商,分地域等,病毒正是利用这些参数控制应用的功能. 一转身就诱导用户安装了一款短信扣费游戏攫取利益 。

\
\

如果用户授予了完全的短信权限,该病毒还会尝试清除作案记录。

\

此外,我们研究了变脸窃贼更新的历史版本,发现其主要更新就是精细化云端配置参数。

\

2、受影响的应用

\

3、病毒更新详细分析分析

3.1 更新安装示意图

\

3.2 安装代码执行流程

\

3.3 关键代码详细分析

软件启动后,从云端下载配置文件,并通过配置文件中的下载链接下载暗扣病毒样本。

(1) 在主界面中调用Dsp类的handle方法

\

(2) 在handle方法中调用process方法

\

(3) 在process方法中进行下载配置文件、获取配置文件中恶意软件的下载信息、下载恶意软件并安装

\

(4) 在process方法中调用DspInfoLoader类的getDspInfo方法下载并获取配置文件中的参数信息.获取配置文件的下载路径如下

http://meipi****.gz.bcebos.com/menghuanhuanyuan.properties

\

调用init的方法获取配置信息

\

配置文件信息:

\

(5)在process方法中调用fitProcess方法获取配置文件的信息,此信息为恶意软件的下载信息,包括包名和下载链接。

\

(6) 在process方法中调用DspMonitor类,启动线程下载恶意软件并进行安装

通过循环下载并安装恶意软件。

\

(7) 在APKUtils类中安装恶意文件

\

针对此类病毒,腾讯手机管家无需升级即可全面查杀,同时腾讯手机管家以及腾讯移动安全实验室提醒您:

1、手机用户应通过正规安全的渠道下载官方版支付、工具、游戏等各类手机APP。用户可在腾讯手机管家“软件管理”下载应用,或在类似应用宝等规模较大的安全电子市场进行下载,确保绿色安全,尽量避免在论坛、小型软件资源站等平台下载软件所引发的安全风险。

2、手机用户应养成使用安全软件来保护手机安全的良好习惯。手机用户可下载安装如腾讯手机管家一类的手机安全软件,定期给手机进行体检和病毒查杀,并及时更新病毒库。针对最新流行肆虐危害较大并且难以清除的病毒或者漏洞,可下载专杀工具及时查杀或修复, 提升手机安全。

相关文章
最新文章
热点推荐