摘要:
金山移动安全中心刚刚截获到一款新型手机病毒,此病毒危害相当大,它不仅能够监听用户短信,消耗用户大量手机费,同时它还会重点监听带有“卡号”、“姓名”、“汇款“等字样的短信,通过这些信息,病毒作者可以远程监控用户的动态密码等敏感信息,进而窃取用户财产。该病毒采用特殊的方式进行自保护,通过正常的卸载方式或第三方杀毒软件都无法完成卸载,而且还会占用大量的系统资源,金山手机卫士已经在第一时间放出解决方案。
关键词:金山手机卫士 金山网络 Android.Troj.SMSZombie.a
安装后注册开机自启动:
1.样本通过注册“android.intent.action.BOOT_COMPLETED”的receiver实现开机启动
2.注册开机自启动
3.启动服务TService
TService会注册android.provider.Telephony.SMS_RECEIVED广播的接收器和content://sms/的监控器,他们都会指向SMSReceiver,以实现监控短信的目的
拦截用户短信:
监控短信,先检测是否是升级短信,如果是升级短信则会更新设置信息并将删除该短信,否则继续监测关键字,如果包含关键字则上传并删除.
1.通过拦截短信升级配置文件,升级短信的内容是一段xml,shengji.xml(升级)初始化,检测不是升级短信则返回,置zhongzhi=1,此时会将升级短信删除。
如果是升级短信则更新配置文件,则同时发送2条短信:将关键字发送至新号码,将新号码+“;信息发送成功”发送至指定手机号。
2.非升级短信关键字的检测和拦截
病毒首先判断用户收到的短信是否是升级短信
如果不是升级短信则继续进行关键字检测
如果病毒检测到关键字,则将参数zhongzhi=1,同时会发送短信内容至指定号码,之后会终止该短信的广播
3.上传用户短信内容,病毒拦截短信的receiver将收到的所有短信发送到指定的号码上,格式为:yyyy-MM-dd HH:mm:ss:号码--内容。
病毒防卸载的流程与原理:
1.注册设备管理器
a.循环提权, 提权不成功一直循环
b.提权成功后发送短信到指定号码
c.获取权限后注册设备管理器
d.设备管理器(卸载页面)一旦启动, 病毒将强制将桌面跳回到桌面
2.监控日志
a.启动lotcat监控线程, 清空logcat
b.循环获取logcat内容, 内容传给mService 处理
c.搜索logcat输出的内容, 发现卸载自己包名或360界面的关键字, 立刻强制跳回桌面, 导致无法继续操作
使用短信发送手机详细信息:
病毒子体是有图标的, 打开默认界面后先是创建phone.xml, 然后把手机详细信息发送到13093632006, 发送的手机信息有: (内容过长分条发送)
母体释放并加载子体流程分析:
行为:释放并欺骗用户安装病毒子体
程序主入口,点击运行,启动jifenActivity毒子体
1.注册android.intent.action.PACKAGE_ADDED广播接收器,创建/data/data/android.phone.com/files/phone.xml配置文件,用于病毒子体文件。
2.MyReceiver接收android.intent.action.PACKAGE_ADDED广播,用于删除病毒子体文件。如果病毒子体已经安装则会启动子体程序
3.点击“美女游戏按钮”, 对于存在安装过子体的则运行子体,对于没有安装过子体的则会诱骗安装。
设置动态壁纸后弹出诱骗安装的界面,欺骗用户点击。
4.retrieveApkFromAssets()将病毒子体文件拷贝到data/data下,准备后续的安装。
5.showInstallConfirmDialog()通过获取积分的方式诱骗用户安装病毒子体。
6.通过获取积分的方式诱骗用户安装病毒子体。
7.当用户再次设置该动态壁纸时会运行病毒子包的设置程序,欺骗用户激活病毒骗取root权限, 以便注册设备管理器。
留言评论(旧系统):