手机病毒“main-plugin-a”分析报告
2016-02-24
病毒伪装成游戏应用,诱导用户下载安装。点击运行后闪退,没有运行界面。
运行后该病毒会私自获取root权限,并后台下载安装未知应用,监听未接信息,接收黑客发出的短信指令,根据指令发送扣费短信、拨打指定电话,给用户带来严重的资费消耗问题。
1. 病毒基本情况
病毒伪装成游戏应用,诱导用户下载安装。点击运行后闪退,没有运行界面。
运行后该病毒会私自获取root权限,并后台下载安装未知应用,监听未接信息,接收黑客发出的短信指令,根据指令发送扣费短信、拨打指定电话,给用户带来严重的资费消耗问题。
2. 动态分析
安装截图:
运行后闪退,无正常界面:
3. 代码分析
恶意代码结构:
样本不完整,AM文件缺失。
恶意代码分析:
获取用户设备信息DeviceID、MacAddress等:
读取assets中的文件:
将memnut、busybox等控制文件写入系统,并提权:
通过memnut命令私自安装未知应用certapp.apk、ETransportConf.apk并提权:
监听短信消息:
获取未接短信中的信息:
filterSmsSPV函数处理收到的短信命令:
根据短信命令调用sendSms函数私发短信:
获取用户收件箱信息,获取需要删除的扣费回执信息ID:
监听手机通话状态:
私自拨打电话:
调用endcall函数挂断电话:
调用deletelog函数删除通话记录:
4. 瑞星手机安全助手查杀
5. 安全建议
i. 恶意样本通常最爱伪装成各类小游戏诱骗用户下载,因此不建议用户安装非正规渠道下载的游戏类应用。
ii. 遇到不能正常打开和运行的应用应该提高警惕,并立即卸载。
iii. 建议用户安装专业的手机安全软件,没有手机安全软件的用户可以使用永久免费的瑞星手机安全助手(下载地址http://pc.rising.com.cn/Android/),养成良好的使用习惯,定期为手机扫描体检,远离病毒威胁。
作者:Scarlett
[责任编辑:瑞瑞]