2014年9月9日 星期二

AdDevice木馬分析報告

AdDevice木馬分析報告

我們知道,如果軟件需要激活設備管理器,需要用戶的確認。但近期360互聯網安全中心截獲了一批木馬,該木馬軟件通過精巧的設計,偽裝成Android的升級通知,提示將系統升級到最新的Android 4.4系統,強迫用戶只能點擊「確定」按鈕升級系統。但用戶事實上點擊的卻是激活設備管理器。而此時,木馬就獲得了防止卸載的能力,達到強行駐留用戶手機上的目的,剝奪了用戶對手機的控制權。360互聯網安全中心提醒網民,請通過360手機助手等正規應用市場下載應用。目前360已全面查殺該木馬。

1

一、木馬實現原理圖:

兩張圖

使用一個假的界面放在激活設備管理器對話框的上面。

二、具體分析如下:

1)、流氓行為:

檢測設備管理器是否被激活。激活了則啟動程序正常功能,未激活則彈出激活設備管理器界面,同時啟動惡意服務DService。

image3

惡意服務調用popView,以提示用戶升級系統為理由,繪製出一個虛假的的界面,覆蓋了真實在激活界面。

A)、該應用正常的激活設備管理器的界面應該如下,對用戶來講有選擇不激活的權力:

激活

B)、然而當調用完popView後,會在「激活設備管理器」對話框的上面繪製出一個假的提示頁面,相關代碼如下:

image5

該虛假界面如下:

通知

當該界面覆蓋在設備管理器上面時,用戶只能點擊確定(取消按鈕、返回鍵、主頁鍵均無效)。實際是點擊了確定下面的按鈕,即激活設備管理器中的激活按鈕,從而該應用順利的激活設備管理器。

C)、最後該應用會調用delView將該虛假頁面刪掉,達到點擊確定,退出頁面的效果。

2)、惡意行為:

A)、獲取用戶短息,IMEI,IMSI等用戶敏感信息,上傳到黑客服務器

image8

B)、從遠程獲取攔截規則,自動回覆遠程指定的短信,並且把收件箱的短信轉發到黑客手機號碼上。

image9

該應用獲取遠程的過濾規則

image10

當手機接收短信時,木馬會過濾遠程指定電話號碼的短信

image11

image12

image13

自動回覆遠程指定的短信並且把收件箱的短信轉發到黑客手機號碼上。

解決方案

1、通過手機360衛士直接查殺。

2、使用數據線將手機與電腦連接起來,然後在電腦上下載並安裝360系統急救箱,使用其中的「手機木馬專殺」功能查殺病毒。

同時,我們強烈建議用戶從正規渠道購買手機,安裝360手機衛士保護手機安全。如遇到病毒反覆查殺、手機中靜默安裝軟件等異常現象,請及時向我們反饋。

轉載自《360移動安全