【Android病毒分析报告】 - ZooTiger “集恶意推广、隐私窃取、恶意吸费于一体”
来源:互联网 发布:知乎专栏怎么收藏 编辑:程序博客网 时间:2024/05/04 01:07
本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.csdn.net/jiazhijun/article/details/11772379
作者:Jack_Jia 邮箱: 309zhijun@163.com
近期百度安全实验室发现一款ZooTiger新病毒,该病毒集吸费、隐私窃取、恶意推广功能与一身,该病毒目前已感染大批第三方应用市场内的“功夫熊猫3”、“小猪爱打架”等大批流行游戏。该病毒集多种恶意行为于一身,堪称Android病毒的“功夫熊猫”。
目前该病毒样本在各市场已有10万以上的下载量,以下是某第三方市场样本截图:
该病毒启动后,后台偷偷访问远端服务器获取指令,并根据服务器端指令完成以下恶意行为:
恶意推广方面:
1、后台自动下载应用提示安装。
2、插入广告短信到您的短信收件箱。
3、打开指定的应用。
4、打开浏览器访问指定网页。
隐私窃取方面:
1、上传您的联系人信息到服务器。
恶意吸费方面:
1、后台私自发送短信订阅付费服务。
2、通过WAP订阅扣费服务并自动完成扣费流程。
目前该病毒的远端指令服务器有以下几个,客户端随机选择指令服务器获取指令:
http://sdk.gmdrm.com/sdk/{ actiontype}
http://sdk.meply.net/sdk/{ actiontype}
http://sdk.lvply.com/sdk/{ actiontype}
http://sdk.plygm.com/sdk/{ actiontype}
http://sdk.ilvgm.com/sdk/{ actiontype}
下面对该病毒样本进行简单分析:
样本MD5 :a783fbcfc82db8912475f11184b27a59
应用包名:com.play.kfpanda
恶意代码结构树:
(披了一层貌似SDK的外衣)
1、首先该病毒在AndroidManifest.xml文件注册大量系统频发广播,以便恶意组件能够顺利运行。
3、当zoo.tiger.sdk.core.StateReceiver接收到开机、网络连接变化等系统广播后启动CoreService和PayService两个关键服务。
4、CoreService服务完成以下恶意行为:
后台自动下载应用提示安装。
插入广告短信到您的短信收件箱。
打开指定的应用,通过浏览器访问指定网页。
上传您的联系人信息到服务器
5、PayService服务完成以下吸费恶意行为
通过SMS订阅SP服务、WAP访问扣费服务
- 【Android病毒分析报告】 - ZooTiger “集恶意推广、隐私窃取、恶意吸费于一体”
- 【Android病毒分析报告】 - ZooTiger “集恶意推广、隐私窃取、恶意吸费于一体”
- 【Android病毒分析报告】 - AppPortal “恶意行为云端无限扩展”
- Betabot病毒回归,窃取密码并下载恶意软件
- Androidframework窃取用户隐私病毒分析
- 【Android病毒分析报告】 - ZxtdPay 吸费恶魔
- Android平台各类恶意软件及病毒分析
- 恶意
- 流氓分析:ZOL恶意推广引导免费流氓软件
- 展讯和联发科是根除恶意吸费成败关键
- 80万用户感染伏地虫病毒 获取root恶意下载、窃隐私盗资金
- 爬取某在线恶意软件仓库病毒文件进行分析
- 手电筒惊现海量root病毒:私自扣费、强装病毒、恶意弹窗
- iPhone抽奖APP内置恶意扣费病毒 腾讯手机管家精准查杀
- Android逆向之分析某锁机恶意软件
- Android平台各类恶意软件及病毒概览
- Android平台各类恶意软件及病毒概览
- Android平台中各类恶意软件及病毒概览
- Flash Builder 4.6 提示 Failed to create the Java Virtual Machine 解决办法
- UDP广播与组播
- Android 返回键返回到指定的Activity
- 数据挖掘漫谈:数据挖掘方法和实例
- soft irq and tasklet
- 【Android病毒分析报告】 - ZooTiger “集恶意推广、隐私窃取、恶意吸费于一体”
- mysql 在表中添加多个外键/增加外键/级联约束
- 关于Frame 的基本知识
- 修改应用程序使用定位时得提示信息
- 学习Exadata时看到的一篇不错的文章,转一下,自己也备忘
- java 泛型详解
- JAVA笔记:接口
- 修改设备的分辨率
- MySQL运算符