【Android病毒分析报告】 - ZooTiger “集恶意推广、隐私窃取、恶意吸费于一体”

本文章由Jack_Jia编写，转载请注明出处。  
文章链接：http://blog.csdn.net/jiazhijun/article/details/11772379

作者：Jack_Jia    邮箱： 309zhijun@163.com

    近期百度安全实验室发现一款ZooTiger新病毒，该病毒集吸费、隐私窃取、恶意推广功能与一身，该病毒目前已感染大批第三方应用市场内的“功夫熊猫3”、“小猪爱打架”等大批流行游戏。该病毒集多种恶意行为于一身，堪称Android病毒的“功夫熊猫”。

    目前该病毒样本在各市场已有10万以上的下载量，以下是某第三方市场样本截图：

 

    该病毒启动后，后台偷偷访问远端服务器获取指令，并根据服务器端指令完成以下恶意行为：

    恶意推广方面：

       1、后台自动下载应用提示安装。

       2、插入广告短信到您的短信收件箱。

       3、打开指定的应用。

       4、打开浏览器访问指定网页。

    隐私窃取方面：

       1、上传您的联系人信息到服务器。

    恶意吸费方面： 

      1、后台私自发送短信订阅付费服务。

      2、通过WAP订阅扣费服务并自动完成扣费流程。

    目前该病毒的远端指令服务器有以下几个，客户端随机选择指令服务器获取指令：

       http://sdk.gmdrm.com/sdk/{ actiontype}

       http://sdk.meply.net/sdk/{ actiontype}

       http://sdk.lvply.com/sdk/{ actiontype}

       http://sdk.plygm.com/sdk/{ actiontype}

       http://sdk.ilvgm.com/sdk/{ actiontype}

   下面对该病毒样本进行简单分析：

       样本MD5 ：a783fbcfc82db8912475f11184b27a59

       应用包名：com.play.kfpanda

  恶意代码结构树：

          （披了一层貌似SDK的外衣）

        

1、首先该病毒在AndroidManifest.xml文件注册大量系统频发广播，以便恶意组件能够顺利运行。

 

 

3、当zoo.tiger.sdk.core.StateReceiver接收到开机、网络连接变化等系统广播后启动CoreService和PayService两个关键服务。

4、CoreService服务完成以下恶意行为：

  后台自动下载应用提示安装。

   插入广告短信到您的短信收件箱。

  打开指定的应用，通过浏览器访问指定网页。

   上传您的联系人信息到服务器

5、PayService服务完成以下吸费恶意行为

   通过SMS订阅SP服务、WAP访问扣费服务