<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("色播病毒,病毒,那些事儿") PageTitle=stripHTML("色播病毒的那些事儿") ArticleIntro=stripHTML("长期以来,色播类App屡见不鲜,其背后是巨大的金钱利益,是病毒主要栖息之地。为了保护用户切身利益,腾讯手机管家长期以来对此类病毒进行及时查杀") Articlecontent=stripHTML("长期以来,色播类App屡见不鲜,其背后是巨大的金钱利益,是病毒主要栖息之地。为了保护用户切身利益,腾讯手机管家长期以来对此类病毒进行及时查杀。  色播类病毒每日…") ModuleName = stripHTML("hack") InfoID = stripHTML("214203") ChannelShortName=stripHTML("Hack") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("hack") %> 色播病毒的那些事儿 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> Hack >> 病毒知识 >> 正文

[组图]色播病毒的那些事儿

2015/10/18 作者:腾讯手机管家 来源: 腾讯手机管家
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

  长期以来,色播类App屡见不鲜,其背后是巨大的金钱利益,是病毒主要栖息之地。为了保护用户切身利益,腾讯手机管家长期以来对此类病毒进行及时查杀。

  色播类病毒每日感染用户数如下图所示,感染用户数在周末日与假日期间尤为严重:

  

  为了进行有效的查杀,我们对色情类病毒进行实时的监控。以某约爱色播视频为例,下图所示:晚上8点后会进行爆发,每小时以千为单位,库中总量达80万。

  

  美玉在外,败絮其中,此类色播病毒常以美女色情图片或者视频来诱导用户安装,不断提示用户安装难以卸载的恶意插件,进行广告的推送,甚至在后台静默下载安装应用和发送扣费短信,给用户造成很大的影响。

  色播病毒执行的流程如下图所示:

  

  一、色播类病毒主要行为分析

  1.1 通过继承Application来解密Dex,隐藏真正的Dex来躲避查杀:

       

  1.2 解密Dex:

  通过包名中的数字截断来确定需要解密的文件的名称,此时文件名为26a6.fdc

  解密后的Dex名称由:Md5加密(包名+”.Core”)+“.apk”组成。

  1.3 通过DexClassLoader加载Dex,读取资源解密释放出文件:

       

  命名方式为:MD5加密(包名+“.original”+versionCode),此时的文件为一个Loader

  1.4 Loader联网获取恶意插件:

  01f61033344309ee8aa69bfab53f8196.apk即为Loader,

  包com.jmedia.loader.ad的函数AdApkHandler为加载插件函数

  1) 联网获取数据,配置广告文件config_ad.xml

      

  2)读取json数据,通过解密字符串获得需要的字段downloadurl,filesize,outStartActivity等

     

  对应的字符串:

         

  解密函数主要过程:将密钥进行MD5加密,取前17位作为AES解密的key。

  解密函数如下:

         

  3)写SharedPreferences文件config_ad.xml,内容如下:

     

  4)获取到config_ad.xml的downloadUrl下载解密

  下载到的文件ad20150513.apk文件,命名为game.properties, 该文件为加密文件,读取config_ad.xml的secretKey进行AES解密,释放解密后的文件到sdcard中的SAdAssets目录下,命名为game20141210.apk,该文件即为我们要的com.android.system.contact.app推广的APP。

  

  其中config_ad.xml中的字段:outStartActivityAction, outStartActivity , serviceClassName 为需要启动的组件信息。

  1.5 推广的com.android.system.contact.app 主要行为:

  1)激活设备管理器。

  2)监听设备管理器DeviceAdminReceiverm,当用户禁用时,返回字符串:“取消激活将导致手机系统不稳定,部分安卓程序无法运行”,且记录是否禁用。

  3)联网下载推广信息,banner广告,悬浮窗广告,推送消息等。

  

  二、色播类病毒追踪

  2.1批量生成灵活配置后台进行推广:色播类病毒中含大量重打包的应用,其推广应用可灵活配置:

 

  1)根据Manifest配置文件的Appid来决定访问的网址:

      

   2) 后台含需要推广的应用,及其诱导信息

    

          

         

 

  2.2 静默发送短信或者诱导点击来达到扣费的效果,以云端控制的方式返回待发送短信和号码,此种方式能控制发送任意短信内容。

  1)除了偷偷发送短信,还会以诱惑性或者模糊的词来诱导用户进行点击。

  

  2)以云控的方式来控制短信内容:

  

  2.3我们在实时监控的过程中,发现色播类病毒和大量插件,App捆绑相关联,可见病毒作者在开发时,在捆绑的测试也下过不少功夫。

  

  三、色播伪装的羊皮

  色播类病毒在隐藏伪装方面也着实下了不少功夫。

  1.将推广应用或者dex伪装成so,mp3等各种格式:

  

  实际上Media.mp3为Apk文件,如下图所示:

  

  2.少量使用主流加固,大多数通过私有加固,加解密的方式来躲避查杀,并且使用公开的隐藏Apk方式

  1) 如下图所示,样本为dex文件,但其数据的尾部隐藏着一个APK文件:

  

  2) 直接以字符串的形式存储在字符串中,进行解密写文件:

   

  3)伪装成正常的类名

   
   
    4)通过So来调用android代码下载插件,色播逐步转向Native层将成为一大趋势

     

  四、总结

  色播类的样本使用各种伪装,加解密的方式的手段来加载恶意代码,此种通过云端控制、插件化加载的方式,可达到加载各种恶意app,并且含推广应用、推送消息、恶意扣费的行为,将对用用户造成很大的影响。

  五、解决方案与安全建议

  1.使用腾讯手机管家可进行精确的查杀与防御。

  2.健康上网,不安装来历不明的应用软件