手机病毒“豌豆荚”分析报告

2016-01-29   

1月25日，瑞星“云安全”系统拦截到一个伪装成知名APP“豌豆荚”的Android手机病毒。该病毒拥有自我隐藏功能，可盗取用户敏感信息、并造成流量资费消耗等问题。目前，瑞星手机安全助手已可对该病毒进行查杀。

一、病毒样本特征

该病毒伪装成正常应用豌豆荚，诱导用户下载安装。点击运行后没有正常运行界面，闪退后删除自身图标，具有一定的隐蔽性。

二、病毒危害

该病毒会在后台拦截并窃取手机中的短信、联系人、位置、录音等隐私信息，并接收控制短信命令，私发短信、私自拨打电话、私自对电话录音等，最后将用户隐私联网上传。 该病毒一旦隐藏运行在用户手机中，将造成严重的隐私泄露、流量资费消耗等问题。

三、动态分析

安装截图：

点击运行后程序会删除自身图标：

在应用程序管理器的已安装程序列表里可以找到该恶意应用：

四、代码分析

恶意代码结构：

在AM文件中申请的敏感权限：

恶意代码分析：

接收控制短信并判断：

获取用户位置信息：

来电录音：

获取用户未接短信信息：

获取设备信息：

私自发送未知短信：

获取用户短信信息：

私自下载未知文件：

上传用户隐私信息：

五、瑞星手机安全助手查杀

六、安全建议

1. 使用大型正规APP商店作为下载渠道，不从论坛或不正规的网站下载APP。

2. 遇到APP莫名消失的情况应提高警惕，立刻使用安全软件对手机进行彻底的扫描查杀。

3. 安装专业的手机安全软件，没有手机安全软件的用户可以使用永久免费的瑞星手机安全助手（下载地址http://pc.rising.com.cn/Android/），养成良好的使用习惯，定期为手机扫描体检，远离病毒威胁。

作者：Scarlett

[责任编辑：瑞瑞]