首页安全播报安全快讯 › “变脸窃贼”病毒伪装手机应用 私装短信扣费游戏

“变脸窃贼”病毒伪装手机应用 私装短信扣费游戏

2017-04-18

      近期,腾讯反诈骗实验室接到用户反馈, 手机突然收到大量扣费短信息.经过反病毒工程师的分析确认,这是用户手机感染了暗扣类游戏所致

 

1、病毒分析                      

      用户下载到的应用本身,从功能或者界面看上去都挺正常的,甚至于它申请的权限都比大多数大牌应用要少,似乎这就是个还算正常的良民应用

 

      细细观察就会发现该病毒会从云端获取配置参数,这些参数包括延迟时间,分运营商,分地域等,病毒正是利用这些参数控制应用的功能. 一转身就诱导用户安装了一款短信扣费游戏攫取利益

 

 

      如果用户授予了完全的短信权限,该病毒还会尝试清除作案记录

 

      此外,我们研究了变脸窃贼更新的历史版本,发现其主要更新就是精细化云端配置参数

 


2受影响的应用

 

             

3病毒更新详细分析分析

3.1 更新安装示意图

 

 

3.2 安装代码执行流程   

 

 

3.3 关键代码详细分析

      软件启动后,从云端下载配置文件,并通过配置文件中的下载链接下载暗扣病毒样本

 (1) 在主界面中调用Dsp类的handle方法 

 

 

(2) 在handle方法中调用process方法

 


(3) 在process方法中进行下载配置文件、获取配置文件中恶意软件的下载信息、下载恶意软件并安装

 

 

(4) 在process方法中调用DspInfoLoader类的getDspInfo方法下载并获取配置文件中的参数信息.获取配置文件的下载路径如下

http://meipi****.gz.bcebos.com/menghuanhuanyuan.properties

 

调用init的方法获取配置信息:

 

配置文件信息:

 

 

(5)在process方法中调用fitProcess方法获取配置文件的信息,此信息为恶意软件的下载信息,包括包名和下载链接

 

 

(6) 在process方法中调用DspMonitor类,启动线程下载恶意软件并进行安装

      通过循环下载并安装恶意软件

 

 

(7) 在APKUtils类中安装恶意文件

 

 

针对此类病毒,腾讯手机管家无需升级即可全面查杀,同时腾讯手机管家以及腾讯移动安全实验室提醒您:   

1手机用户应通过正规安全的渠道下载官方版支付、工具、游戏等各类手机APP。用户可在腾讯手机管家“软件管理”下载应用,或在类似应用宝等规模较大的安全电子市场进行下载,确保绿色安全,尽量避免在论坛、小型软件资源站等平台下载软件所引发的安全风险。

2、手机用户应养成使用安全软件来保护手机安全的良好习惯。手机用户可下载安装如腾讯手机管家一类的手机安全软件,定期给手机进行体检和病毒查杀,并及时更新病毒库。针对最新流行肆虐危害较大并且难以清除的病毒或者漏洞,可下载专杀工具及时查杀或修复提升手机安全。

 

 


安全快讯 更多

好WiFi在哪里

好WiFi在哪里

2018-06-29
“儿童游戏”木马无所遁形

“儿童游戏”木马无所遁形

2018-05-29
安卓辅助类病毒研究报告

安卓辅助类病毒研究报告

2018-05-24

安全视频 更多

小管说安全(4)——狗阿旺的案情回顾

2017-12-06

手柄助手完美适配光荣使命

2017-11-30

小管说安全(3)——谣言有毒

2017-10-24