首页安全播报安全快讯 › 恶意删除UC百度? 解密“暗箭刺客”病毒技术逻辑

恶意删除UC百度? 解密“暗箭刺客”病毒技术逻辑

2014-02-27

据大量用户反馈,自主安装的UC浏览器在手机中被无故删除,重新下载安装后仍被卸载,这一事件引起了UC的极大重视,并在微博进一步发布了“恶意卸载”的声明,在行业引起了极大反响。腾讯手机管家病毒检测技术团队第一时间找到了病毒样本,并对这个命名为“暗箭刺客”的手机病毒逻辑进行了详细分析和深度解密。

手机病毒:a.system.appkiller.[暗箭刺客]

主要危害:强制删除UC浏览器、百度搜索等大量知名应用,具有极强的恶意攻击性。

病毒主要逻辑说明:

病毒申请ROOT权限,监听用户解锁或网络变化启动恶意服务,联网获取需要下载app信息(包含哪些是可以删除的字段标识),同时创建相关应用数据库,数据库中包含大量推广应用信息,同时维护了一个可删除应用的数据表,病毒会根据预先设定的时间去发起联网,联网后检测哪些应用可以删除,执行删除应用操作,同时与其它跨进程包有通信联系。

该病毒详细流程如下:

主要是通过ROM内置、部分下载的方式植入用户手机系统,伪装成系统文件“下载管理”,并在后台进一步作案。

病毒申请ROOT权限的行为,以获得最高系统关联权限

病毒监听用户手机终端解锁或网络变化,启动恶意服务

联网获取需要下载的app应用信息

分析代码发现了该病毒联网的加密域名,通过解密可得到域名地址如下:

http://do.sy***y.com/jarjs

http://101.64.***.136:8085/jarjs

http://115.238.***.136:8085/jarjs

并进一步发现与该病毒发生远程通信的加密可疑包包名com.android.mic、远程通信服务net.omigo.android.server。

病毒会创建和维护相关的app应用数据库

先是联网获取数据库数据信息,

进一步创建app应用数据表

同时维护可删除app应用的数据表

病毒代码包含删除系统目录下文件的指令,包括mount -o remount,rw /system /system、rm 、chmod 644等部分加密指令

进一步搜索数据库删除指定应用

病毒执行删除数据库中指定app应用的操作

由于病毒危害极大,影响深远,腾讯手机管家技术团队迅速反应并已录入病毒库,遇到该类病毒的用户,建议安装腾讯手机管家查杀该病毒,确保手机安全。


作者:腾讯移动安全实验室工程师     贺伟


安全快讯 更多

BadMedia木马家族

BadMedia木马家族

2017-11-14
双11网购诈骗安全报告

双11网购诈骗安全报告

2017-11-10
2017Q3手机安全报告

2017Q3手机安全报告

2017-11-06

安全视频 更多

小管说安全(3)——谣言有毒

2017-10-24

腾讯手机管家产品经理笑唱安全报告

2017-08-16

腾讯手机管家微信小程序可一键识别诈骗电话啦!

2017-08-02