2019今晚开码结果,神算网论坛,10488.com,999234彩霸王资料大全
10488.com

伪“违章查询”病毒分析报告

时间:2019-11-29 12:32  作者:admin  来源:未知   查看:  
内容摘要:该病毒伪装成正常的应用程序潜伏在安卓电子市场中诱导用户下载安装。安装后程序无法正常运行,直接闪退并隐藏自身启动图标,诱导用户激活设备管理器、私自后台发送短信到指定手机号码、遍历用户短信收件箱并窃取用户短信内容、拦截回执短信、通话记录、监听

  该病毒伪装成正常的应用程序潜伏在安卓电子市场中诱导用户下载安装。安装后程序无法正常运行,直接闪退并隐藏自身启动图标,诱导用户激活设备管理器、私自后台发送短信到指定手机号码、遍历用户短信收件箱并窃取用户短信内容、拦截回执短信、通话记录、监听用户拨打电话。手机一旦中毒,用户将面临隐私信息泄露及财产安全等风险。www.203311.com

  从上图可以看出,整体框架结构做了代码混淆及加密保护措施,分析起来也不是很方便,但病毒体结构还是很清晰的。

  接下来我们开始详细的分析一下这个病毒的主要恶意行为,首先我们先将该恶意程序安装到Android系统设备中:

  当安装运行时发现,该程序并没有组建任何有效合法的Activity界面,直接就闪退至Home页,然后自动隐藏程序启动图标(右上图),并弹出虚假提示信息“手机版本不兼容无法打开,正在自动卸载....”来告知用户程序自动卸载了,下图为隐藏启动图标的反汇编代码:

  从上图代码中可以看出,该病毒只会感染Android4.4及以下的系统设备,还可以看到很多提示信息,这些信息在程序运行时是不会体现的,而是通过发送短信的方式发送给指定的手机号码“1847******* 广东 深圳 移动”

  PhoService的主要行为是监听用户的行为操作和发送系统广播以及遍历用户短信收件箱和手机通讯录等

  以及用户的短信收件箱列表、短信收件箱的sqlite数据库和用户的来去电录音

  通过BootReceiver来的启动操作,实现设备开机自启动后发送系统广播来开启后台服务进程并进入系统监听和拦截模式

  当对该病毒进行卸载时发现,病毒还会通过组建UninstallerActivity来替换系统的卸载程序的组件,以此来欺骗用户

  目前,Android智能系统的碎片化愈加的严重混乱,安全管理方面也没有统一且强劲的管理制度,使得病毒木马越来越多。就目前来讲,几乎在所有的Android应用电子市场等领域里就没有让用户安装放心、使用放心的应用程序。病毒作者在设计及开发病毒的时候利用的技术手段也越来越精妙,使得用户防不胜防。

  病毒作者最喜欢干的事情就是将自己写的病毒程序捆绑到较热门的app应用程序中,并在后台进行大范围的恶意推广传播,使得用户的隐私及经济受到严重的威胁及损害。

  建议用户在安装和使用软件时如发现手机中不明原因的增加新应用,一定要警惕是否存在该类型恶意软件。3588`com管家婆彩图中特网并且用户在使用Android智能设备时,一定要在设备中安装一些官方认证版本的安全监测工具,实时防护用户的智能设备不受到恶意程序及病毒的侵害。另外,如需安装一些实用的且下载量较高的app,记住一定要到官方认证的电子市场或大型的且有官方认证Logo的网站上进行下载安装,切勿随便在不知名的网站或电子市场上下载。



Power by DedeCms