zoukankan      html  css  js  c++  java
  • 【Android病毒分析报告】

    本文章由Jack_Jia编写,转载请注明出处。  
    文章链接:
    http://blog.csdn.net/jiazhijun/article/details/11772379

    作者:Jack_Jia    邮箱: 309zhijun@163.com

     

     

        近期百度安全实验室发现一款ZooTiger新病毒,该病毒集吸费、隐私窃取、恶意推广功能与一身,该病毒目前已感染大批第三方应用市场内的“功夫熊猫3”、“小猪爱打架”等大批流行游戏。该病毒集多种恶意行为于一身,堪称Android病毒的“功夫熊猫”。

        目前该病毒样本在各市场已有10万以上的下载量,以下是某第三方市场样本截图:

     

     

     

        该病毒启动后,后台偷偷访问远端服务器获取指令,并根据服务器端指令完成以下恶意行为:

        恶意推广方面:

           1、后台自动下载应用提示安装。

           2、插入广告短信到您的短信收件箱。

           3、打开指定的应用。

           4、打开浏览器访问指定网页。

        隐私窃取方面:

           1、上传您的联系人信息到服务器。

        恶意吸费方面: 

          1、后台私自发送短信订阅付费服务。

          2、通过WAP订阅扣费服务并自动完成扣费流程。

        目前该病毒的远端指令服务器有以下几个,客户端随机选择指令服务器获取指令:

           http://sdk.gmdrm.com/sdk/{ actiontype}

           http://sdk.meply.net/sdk/{ actiontype}

           http://sdk.lvply.com/sdk/{ actiontype}

           http://sdk.plygm.com/sdk/{ actiontype}

           http://sdk.ilvgm.com/sdk/{ actiontype}

       下面对该病毒样本进行简单分析:

           样本MD5 :a783fbcfc82db8912475f11184b27a59

           应用包名:com.play.kfpanda

      恶意代码结构树:

              (披了一层貌似SDK的外衣)

            

    1、首先该病毒在AndroidManifest.xml文件注册大量系统频发广播,以便恶意组件能够顺利运行。

     

    3、当zoo.tiger.sdk.core.StateReceiver接收到开机、网络连接变化等系统广播后启动CoreService和PayService两个关键服务。

    4、CoreService服务完成以下恶意行为:

      后台自动下载应用提示安装。


     

       插入广告短信到您的短信收件箱。


     

      打开指定的应用,通过浏览器访问指定网页。


     

       上传您的联系人信息到服务器


     

    5、PayService服务完成以下吸费恶意行为

       通过SMS订阅SP服务、WAP访问扣费服务


  • 相关阅读:
    设置发光字
    QQ空间无导航条应对方法
    网页设计经典网站欣赏
    页面居中显示
    获取元素的绝对位置
    输入两个整数 n 和 m,从数列1,2,3.......n 中 随意取几个数, 使其和等于 m ,要求将其中所有的可能组合列出来.
    最长重复子字符串
    从头到尾彻底解析Hash 表算法
    求二叉树中节点的最大距离
    MySQL学习笔记——显示数据库信息
  • 原文地址:https://www.cnblogs.com/james1207/p/3327721.html
Copyright © 2011-2022 走看看