【Android病毒分析报告】 - 新病毒FakeUmg “假面友盟”
本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.csdn.net/jiazhijun/article/details/12658633
作者:Jack_Jia 邮箱: 309zhijun@163.com
近期百度安全实验室发现一款“假面友盟”新病毒,该病毒通过大批量二次打包第三方应用获得快速的传播。安全实验室监控数据表明,受该病毒感染的应用数以万计,且分布于国内不同流行应用商店,累计下载量超过10万余次。该病毒恶意代码伪装成著名的“友盟统计”插件,具有较强的隐蔽性,导致该病毒较难被发现。
该病毒启动后,后台偷偷访问远端服务器获取运行指令,并根据服务器端指令执行如下恶意行为:
1、后台私自发送短信订阅付费服务,并拦截特定号码短信,完成吸费。
2、后台自动化模拟点击访问广告,骗取广告联盟广告推广费,消耗大量数据流量。
目前监控到的该病毒的远端指令服务器有以下几个:
http://118.126.11.136
http://218.240.151.104
http://www.ppa2099.com
http://www.sese365.net
http://www.fafa7891.com
1、首先该病毒通过修改AndroidManifest.xml文件的入口Activity为com.umeng.adutils.SplashActivity,SplashActivity启动恶意代码后,再启动源程序MainActivity。这样就达到了既启动恶意代码,又不破坏原有程序逻辑的目的。
代码树结构
通过伪装成“友盟SDK"到达隐藏目的,逆向分析人员极易忽略此类代码。
2、病毒恶意组件功能及交互图
3、恶意代码片段截图
一、广告模拟点击相关
广告指令服务器端地址:
Http请求服务器获取广告指令,广告指令通过Base64编码,解码后的指令如下:
二、恶意吸费相关
吸费指令服务器地址:
Http请求获取吸费指令,Base64解码后的吸费指令结构为:
为了掩盖发送短信行为,恶意攻击者通过native stringFromJNI方法调用so发送短信,使用方法名迷惑逆向分析人员。
按照短信指令配置拦截特定号码短信:
