1、概述

2017年6月29日、30日，国家互联网应急中心通报了相册类安卓恶意程序威胁信息，指出该类恶意木马通过短信群发方式进行传播，其除了窃取用户短信和通讯录以外，还对用户手机进行了远程命令控制（其中包括短信群发到感染设备通讯录完成传播和控制感染设备来电去电等功能），不排除后期对感染设备用户及其朋友圈进行诈骗和恶意消费等恶意行为。

鉴于该类恶意木马对用户个人隐私和移动安全造成的严重威胁，几维安全对其中一些样本进行了分析，并且发现部分恶意代码是通过伪装成当下流行的“王者荣耀游戏”的皮肤程序，利用各个APP商店、下载网站进行大量传播。本文将对此类“王者荣耀皮肤”伪装者恶意程序进行详细分析。

2、恶意木马行为简介

我们所分析的这款恶意木马伪装成“王者荣耀皮肤”应用以吸引用户下载安装（见下图）。运行后，该恶意木马会首先启动设备管理器界面，引导用户激活自己为设备管理员，这样可以避免被轻易卸载。设备管理员权限一旦被激活，该恶意木马便会将窃取到的感染设备安装激活状态、IMEI、机型、系统型号等信息以邮件的方式发送到攻击者指定的163邮箱，提示肉鸡上线。其次，该恶意木马还会每隔2分钟提示、诱导用户设置自己为默认的短信应用，以获取对短信数据库的读写权限。最后，恶意木马会删除图标，隐藏自身。

以上准备工作完成后，该恶意木马便会将窃取到的感染设备的所有短信和通讯录信息上传到攻击者指定的163邮箱。除此之外，该恶意木马还利用短信收发广播和观察者模式两种方式来监听感染设备的新收短信。如果新收短信来自攻击者，则该恶意木马执行对应的控制命令（其中包括短信群发到感染设备通讯录完成传播和控制感染设备来电去电等功能），否则恶意木马将其他新收短信分别上传到攻击者指定的163邮箱账户和发送到攻击者指定的手机号码。最后，该恶意木马可通过控制命令删除新收短信。下图为对该恶意木马功能的概括总结：

3、详细行为分析

该恶意木马申请的权限如下图所示，其中，涉及到的敏感权限包括短信的读、写、发送权限，联系人读写权限，打电话权限，自启动权限和监听、控制、取消呼出电话的权限等。

3.1、申请管理员权限，自我保护

该恶意样本首先会启动设备管理器界面，引导用户激活自己为设备管理器，这样可以避免自己被轻易卸载。见下图：

Android设备管理器对于一个普通APP而言并不太常用，在很多病毒中很是常见。一旦应用被激活成为系统管理员，则在设置->应用程序下无法直接删除该APP，只有取消激活后才能卸载。所以对于不了解的应用，千万不可乱激活。

当用户点击激活后，恶意木马就获得了设备管理员权限，这样会导致普通用户很难卸载掉恶意木马。

3.2、提示肉鸡上线。

该恶意木马注册了广播接收器，一旦设备管理员权限被用户激活，恶意木马就将窃取到的感染设备安装激活状态、IMEI、机型、系统型号等信息通过邮件发送到攻击者指定的163邮箱，提示肉鸡上线。见下图：

3.3、接管短信应用

该恶意木马每隔2分钟提示、引导用户设置自己为系统短信应用，接管短信服务，以获得对短信数据库的操作权限（见下图）。

Android 4.4及其以后，只能设置一个默认的SMS短信APP，当短信到达后会首先通知设置的默认APP，并且只有该APP对短信数据库有修改的权限和短信的发送权限。

3.4、窃取用户短信和通讯录

该恶意木马在窃取感染设备的IMEI、机型、系统版本和所有短信以及通信录内容后，将其以邮件的方式上传到攻击者指定的163邮箱。如果通过邮件上传用户的短信和通讯录时报错，则会以短信的方式通知攻击者利用控制命令重新获取短信和通讯录并发送。见下图：

窃取感染设备中的全部短信：

窃取感染设备通讯录内容：

窃取感染设备IMEI、机型、系统版本和整个设备的短信和通讯录，邮件发送到攻击者指定的邮箱：

如果通过邮件上传用户的短信和通讯录时报错，则会以短信的方式通知攻击者利用控制命令重新获取短信和通讯录并发送：

3.5、监听感染设备新短信

该恶意样本利用短信收发广播和观察者模式两种方式来监听感染设备的新收短信。如果新收短信来自攻击者，则执行相应控制命令（其中包括短信群发到感染设备通讯录完成传播和控制感染设备来电去电等功能，详细的控制指令和对应功能见下表）。否则，窃取其他新收短信（分别通过邮件和短信方式发送）。见下图：

注册短信发送接收广播：

判断短信发送者，如果不是来自攻击者，则将截获的短信分别发送到攻击者指定的163邮箱和以短信的形式发送给攻击者指定的手机号码；如果新收短信来自攻击者，则执行对应控制命令（其中包括短信群发到感染设备通讯录完成传播和控制感染设备来电去电等功能）。

利用观察者模式监听短信变化，可通过控制命令设置对新收短信进行删除

我们对控制指令及其相应的代码进行分析并且绘制了如下控制指令及其功能的表格。

3.6、服务常驻

该恶意木马还定义了广播接收器，用于自启动。当用户手机重启时，启动恶意服务，继续其侵害过程。

4、移动安全建议

建议不要安装不明来源的APP，对申请可疑权限尤其是短信读写、打电话以及需要激活设备管理器的APP要特别留意。遇到操作异常，应当及时使用杀毒软件查杀或找专人处理。目前，目前互联网上也充斥着形形色色的第三方APP下载站点，很多甚至成了恶意应用的批发集散地。用户应特别留意不应轻易的在一些下载站点下载APP，尽量从官网下载所需APP应用，在不得不从第三方下载站点下载软件时，要高度保持警惕，认真甄别，防止误下恶意应用，造成不必要的麻烦和损失。此外，对于“王者荣耀”游戏用户，建议不要轻易相信网上的所谓的免费版“王者荣耀皮肤”应用，尽可能在官网下载，以防感染此类恶意APP。

移动应用安全问题主要来自应用本身漏洞、开发环境病毒、第三方可疑插件、“黑客”恶意攻击四个方面。但是在实际的开发过程中，因项目开发紧急或者开发者能力有限，造成移动应用存在诸多漏洞，无意给攻击者留下后门。面对这种情况，几维安全推出《几维盾牌》加固工具，帮助Android开发者对其移动应用做安全加固处理，防止攻击者的逆向分析、调试、反编译、反汇编和二次打包等恶意行为。

推荐阅读：APP加密，安卓加密