应用下载需警惕,“猜你妹”病毒潜伏应用市场伺机刷流氓应用
概述
游戏猜的正嗨的时候,突然提示系统存在安全漏洞,吓死本宝宝有没有,在线等要不要修复? 小伙伴遇到此类提示可千万别点,这是在骗你安装恶意程序。
近期,腾讯移动安全实验室和腾讯反诈骗实验室就发现一款名为”猜你妹”恶意游戏应用潜伏于各大应用市场,在特定的条件下伺机诱骗用户安装恶意程序。
据腾讯移动安全实验室和腾讯反诈骗实验室安全工程师分析发现,该恶意游戏应用通常将自己伪装成个各种猜谜类应用,比如疯狂猜明星、疯狂猜明星2、看图猜歇后语、猜歌TFboys等。
该病毒家族开发的应用特喜欢让用户猜一猜,应用本身的行为反复无常,看上去似乎隔断时间就来作案一次。
(1)开发者更新样本频率快
在正常版本中掺杂恶意版本,打起“游击战”,企图蒙混应用市场。
开始安全---转型病毒---恢复安全---继续投毒---恢复安全:
(2)病毒的恶意行为触发路径很深,饱含满满的套路
面对安全厂商的围追堵截,开发者的猥琐智慧就会不停的进化。该病毒样本只有当用户在特定时间玩到特定关卡的时候才会”奖励”用户一款恶意广告程序。
1、样本行为分析
恶意样本文件com.*********r6.guess360.apk是一个猜明星的游戏应用,运行界面如下:
为了对抗反病毒软件的检测,该样本的恶意行为的触发需要综合判断多个条件,代码如下:
触发条件:
(1)、this.e == 13,判断当前的关卡数-1是否为13
(2)、!g.b(),根据时间信息判断当前时间是否符合触发条件
(3)、判断要安装的应用是否已经安装了
在满足触发条件后,样本执行恶意行为,提示用户系统存在安全漏洞,并将assets目录下的应用释放安装。代码如下:
恶意行为截图如下:
安装的恶意应用伪装为系统应用,软件名为Android,包名cvoo.wa.a,主要的恶意行为是云端下载root子包,root用户手机,并含恶意广告插件,在手机屏幕上匿名弹窗,推送浮窗广告,严重影响用户使用手机。
(1)、从云端下载root子包,并解密加载,下载链接:http://52.52.***.56/checker,
root子包dex结构
root子包从云端下载root方案,并执行root操作,root方案下载链接:
http:\\cdn.gam***.org\strategy\dev_root2
http:\\cdn.gam***..org\strategy\dev_root
http:\\cdn.gam***..org\strategy\UnknownDev
下载的root方案:
(2)、恶意应用在手机屏幕上匿名弹窗,推送浮窗广告,严重影响用户使用手机。
2、样本迭代变化趋势分析
腾讯移动安全实验室和腾讯安全反诈骗实验室利用自有的安全分析大数据平台,对该恶意样本进行了软件包名、开发者证书、样本hash值和传播渠道等多维度进行分析,发现该恶意样本从2015年3月起就开始在国内的各应用市场上传播,至17年6月,该样本已经从版本1.0.1迭代到1.6.4,每隔几天就会上传新的样本到应用市场,其中样本的恶意版本就混杂其中,借以绕过应用市场对其进行的安全性检测。
此包名和开发者证书下的应用的相关变化趋势:
其中16年12月,腾讯反诈骗实验室就发现了此样本的一个恶意版本,该恶意版本在运行时从资源文件assets目录下解密加载Root提权子包,上传用户的设备信息到远程服务器,获取相应的Root方案并进行Root提权行为,提权成功后,频繁下载推送应用,对用户正常使用手机造成影响。而近期发现的新的恶意版本则采用了新的作恶方式,已在上节中进行了详细介绍。
3、样本影响面和相关的开发者证书MD5
根据分析,此类样本的软件名主要为:疯狂猜明星、疯狂猜明星2、看图猜歇后语、猜歌TFboys等,在国内几大应用市场都有上架,且下载安装量都达到了数十万次,其中恶意样本的感染用户达到了数万次。
4、背景溯源
(1)“猜xx”游戏开发者信息
此样本主要是在国内各应用市场上传播,通过比较样本在应用市场上的上架信息,可以看出此类应用的开发公司主要是深圳市****科技有限公司,其主要法人为胡某军。
(2)恶意子包相关信息
根据ROOT模块中解密出来的url链接进行了溯源分析,主要URL为:http://cdn.game***.org,根据域名注册的联系人进行查询,相关企业信息整理如下:
主要产品都是仿冒热门的游戏软件,且都具有流氓广告和恶意推广功能。
5、安全建议
(1)国内各应用市场应完善自身的应用安全性检测机制,定期对应用的安全性进行检查;
(2)应用市场应规范对应用开发者的管理,对于恶意应用的开发者应采取一定的管理措施。
(3)手机用户应养成使用腾讯手机管家等安全软件的习惯,对部分手机应用携带的恶意病毒进行查杀,保护手机安全。
6、关于腾讯手机管家和腾讯反诈骗实验室
腾讯手机管家是腾讯旗下一款永久免费的手机安全与管理软件。功能包括病毒查杀、骚扰拦截、支付保护、隐私保护、手机防盗等安全防护,此外还支持用户流量监控、垃圾清理、手机加速、手机瘦身、免费WiFi、软件管理、相册管理、来电秀、手机备份、提醒助手等高端智能化功能,不仅是安全专家,更是用户的贴心管家。
腾讯移动安全实验室和腾讯安全反诈骗实验室汇聚国际最顶尖白帽***和多位腾讯专家级大数据人才,专注反诈骗技术和安全***体系研究。反诈骗实验室拥有全球最大安全云数据库并服务99%中国网民。
转载于:https://blog.51cto.com/10812547/1942022
应用下载需警惕,“猜你妹”病毒潜伏应用市场伺机刷流氓应用相关推荐
- 瑞星播报:3月8日需警惕“灰鸽子变种AWM”病毒
据瑞星全球反病毒监测网介绍,本周六到下周周一有3个病毒需要特别注意. 3月7日有一个病毒特别值得注意,它是:"代理蠕虫变种TH(Worm.Win32.VB.th)"病毒.该病毒是一 ...
- 瑞星播报:6日需警惕“IRC波特变种XAG”病毒
3月6日热门病毒: "IRC波特变种XAG(Backdoor.Win32.IRCbot. xag)"病毒:警惕程度★★★,后门病毒,通过网络传播,依赖系统:Windows NT/2 ...
- k8s ubuntu cni_周一见 | CNCF 人事变动、最新安全漏洞、K8s 集群需警惕中间人攻击...
作者:bot(才云).Bach(才云) 技术校对:星空下的文仔(才云) 本周新闻 1. CNCF:Priyanka Sharma 上任 2. MicroK8s 支持 Windows/macOS 3. ...
- 网信办遇李鬼?“撤稿邮件”需警惕
网信办遇李鬼?"撤稿邮件"需警惕 10月30日,国家网信办举报中心官方发文称,近期陆续接到互联网企业反映收到发件人显示为中央网信办.国家网信办.违法和不良信息举报中心等,地址显示为 ...
- 需警惕CSS3属性的书写顺序
需警惕CSS3属性的书写顺序 文章传送门:http://www.zhangxinxu.com/wordpress/?p=1117 作者:张鑫旭
- wget下载需登录的网页中的文件
wget下载需登录的网页中的文件(使用cookie) wget简介 以网络下载 maven 包为例 wget -c http://mirrors.shu.edu.cn/apache/maven/mav ...
- 2022-2028全球与中国病毒清除服务市场现状及未来发展趋势
[报告篇幅]:85 [报告图表数]:122 [报告出版时间]:2021年12月 报告摘要 本文研究全球及中国市场病毒清除服务现状及未来发展趋势,侧重分析全球及中国市场的主要企业,同时对比北美.欧洲.中 ...
- 香港税务局提醒:香港公司需警惕病毒欺骗邮件
近日,有注册香港公司的客户向我们询问,收到一封署名为香港税务局的邮件而不知真伪,请求我们帮忙鉴别,结果发现这是一封伪装成税务局发送的欺诈邮件.互联网是一个快速传播信息的平台,因而也常常被一些不法分子利 ...
- 下载陷阱:软件带着病毒来
网上的免费资源可谓是包罗万象,大至杀毒.翻译软件,小至音乐.游戏程序,你缺什么都可以随时进来淘宝.以现在各种应用软件新陈代谢的速度,要想不断升级自己的电脑装备,下载成了唯一的捷径.在你津津乐道于这种既 ...
最新文章
- python拿来干嘛-python可以用来干什么?
- java 线程---成员变量与局部变量
- Leetcode 25 K个一组翻转链表 (每日一题 20210719)
- 多视图几何总结——单应矩阵和基础矩阵的兼容关系
- python支持复数以及相关的运算吗_Python: 复数的数学运算
- JSON.stringify() 方法
- 单例模式——饿汉式和懒汉式
- 微信小程序用户数据解密
- Atlassian 修复严重的 Jira 认证绕过漏洞
- expdp导出 schema_[转载]导入导出:impdpexpdp
- Autofs实现文件系统的自动mount
- linux内核之数据机构
- rocketmq消息积压
- 使用html+css实现-静态开源案例-品优购
- 一维码二维码的生成及打印
- Python猜数字项目源代码
- 淘宝客小程序制作(4)-小程序(微信支付宝)
- 百家企业信息化调查报告
- 【重点警惕】.locked1后缀--TellYouThePass勒索病毒家族旗下勒索病毒
- 模拟仪器仪表ActiveX(OCX)控件 - 实时曲线(RTChart)介绍及下载地址
热门文章
- 计算机毕业设计之java+ssm基于微信小程序的超市购物商城 uniapp
- 计算机工程与设计志,计算机工程与设计
- 王者服务器维护公告2月,王者天下2月17日服务器调整公告
- 浅谈Java中的BigInteger类
- 京东商城,“修养生息”2013 迎接第二个十年
- java stw_JVM中的STW和CMS
- 新版Edge浏览器主页被锁定的解决办法
- Oracle数据卫士Dataguard原理,部署及维护
- 华为鸿蒙系统手机便签数据怎么转移到苹果手机?
- python 画蝴蝶_python如何使用matplotlib绘制蝴蝶图案-百度经验