手机病毒“main-plugin-a”分析报告

2016-02-24   

病毒伪装成游戏应用,诱导用户下载安装。点击运行后闪退,没有运行界面。
运行后该病毒会私自获取root权限,并后台下载安装未知应用,监听未接信息,接收黑客发出的短信指令,根据指令发送扣费短信、拨打指定电话,给用户带来严重的资费消耗问题。

1. 病毒基本情况

病毒伪装成游戏应用,诱导用户下载安装。点击运行后闪退,没有运行界面。

运行后该病毒会私自获取root权限,并后台下载安装未知应用,监听未接信息,接收黑客发出的短信指令,根据指令发送扣费短信、拨打指定电话,给用户带来严重的资费消耗问题。

2. 动态分析

安装截图:


运行后闪退,无正常界面:


3. 代码分析

恶意代码结构:


样本不完整,AM文件缺失。

恶意代码分析:

获取用户设备信息DeviceID、MacAddress等:


读取assets中的文件:


将memnut、busybox等控制文件写入系统,并提权:


通过memnut命令私自安装未知应用certapp.apk、ETransportConf.apk并提权:


监听短信消息:


获取未接短信中的信息:


filterSmsSPV函数处理收到的短信命令:


根据短信命令调用sendSms函数私发短信:


获取用户收件箱信息,获取需要删除的扣费回执信息ID:


监听手机通话状态:


私自拨打电话:


调用endcall函数挂断电话:


调用deletelog函数删除通话记录:


4. 瑞星手机安全助手查杀


5. 安全建议

i. 恶意样本通常最爱伪装成各类小游戏诱骗用户下载,因此不建议用户安装非正规渠道下载的游戏类应用。

ii. 遇到不能正常打开和运行的应用应该提高警惕,并立即卸载。

iii. 建议用户安装专业的手机安全软件,没有手机安全软件的用户可以使用永久免费的瑞星手机安全助手(下载地址http://pc.rising.com.cn/Android/),养成良好的使用习惯,定期为手机扫描体检,远离病毒威胁。

作者:Scarlett

[责任编辑:瑞瑞]