应用下载需警惕,“猜你妹”病毒潜伏应用市场伺机刷流氓应用

概述

游戏猜的正嗨的时候,突然提示系统存在安全漏洞,吓死本宝宝有没有,在线等要不要修复? 小伙伴遇到此类提示可千万别点,这是在骗你安装恶意程序。

近期,腾讯移动安全实验室和腾讯反诈骗实验室就发现一款名为”猜你妹”恶意游戏应用潜伏于各大应用市场,在特定的条件下伺机诱骗用户安装恶意程序。

据腾讯移动安全实验室和腾讯反诈骗实验室安全工程师分析发现,该恶意游戏应用通常将自己伪装成个各种猜谜类应用,比如疯狂猜明星、疯狂猜明星2、看图猜歇后语、猜歌TFboys等。

该病毒家族开发的应用特喜欢让用户猜一猜,应用本身的行为反复无常,看上去似乎隔断时间就来作案一次。

(1)开发者更新样本频率快

在正常版本中掺杂恶意版本,打起“游击战”,企图蒙混应用市场。

开始安全---转型病毒---恢复安全---继续投毒---恢复安全:

(2)病毒的恶意行为触发路径很深,饱含满满的套路

面对安全厂商的围追堵截,开发者的猥琐智慧就会不停的进化。该病毒样本只有当用户在特定时间玩到特定关卡的时候才会”奖励”用户一款恶意广告程序。

1、样本行为分析

恶意样本文件com.*********r6.guess360.apk是一个猜明星的游戏应用,运行界面如下:

为了对抗反病毒软件的检测,该样本的恶意行为的触发需要综合判断多个条件,代码如下:

触发条件:

(1)、this.e == 13,判断当前的关卡数-1是否为13

(2)、!g.b(),根据时间信息判断当前时间是否符合触发条件

(3)、判断要安装的应用是否已经安装了

在满足触发条件后,样本执行恶意行为,提示用户系统存在安全漏洞,并将assets目录下的应用释放安装。代码如下:

恶意行为截图如下:

安装的恶意应用伪装为系统应用,软件名为Android,包名cvoo.wa.a,主要的恶意行为是云端下载root子包,root用户手机,并含恶意广告插件,在手机屏幕上匿名弹窗,推送浮窗广告,严重影响用户使用手机。

(1)、从云端下载root子包,并解密加载,下载链接:http://52.52.***.56/checker

root子包dex结构

root子包从云端下载root方案,并执行root操作,root方案下载链接:

http:\\cdn.gam***.org\strategy\dev_root2

http:\\cdn.gam***..org\strategy\dev_root

http:\\cdn.gam***..org\strategy\UnknownDev

下载的root方案:

(2)、恶意应用在手机屏幕上匿名弹窗,推送浮窗广告,严重影响用户使用手机。

2、样本迭代变化趋势分析

腾讯移动安全实验室和腾讯安全反诈骗实验室利用自有的安全分析大数据平台,对该恶意样本进行了软件包名、开发者证书、样本hash值和传播渠道等多维度进行分析,发现该恶意样本从2015年3月起就开始在国内的各应用市场上传播,至17年6月,该样本已经从版本1.0.1迭代到1.6.4,每隔几天就会上传新的样本到应用市场,其中样本的恶意版本就混杂其中,借以绕过应用市场对其进行的安全性检测。

此包名和开发者证书下的应用的相关变化趋势:

其中16年12月,腾讯反诈骗实验室就发现了此样本的一个恶意版本,该恶意版本在运行时从资源文件assets目录下解密加载Root提权子包,上传用户的设备信息到远程服务器,获取相应的Root方案并进行Root提权行为,提权成功后,频繁下载推送应用,对用户正常使用手机造成影响。而近期发现的新的恶意版本则采用了新的作恶方式,已在上节中进行了详细介绍。

3、样本影响面和相关的开发者证书MD5

根据分析,此类样本的软件名主要为:疯狂猜明星、疯狂猜明星2、看图猜歇后语、猜歌TFboys等,在国内几大应用市场都有上架,且下载安装量都达到了数十万次,其中恶意样本的感染用户达到了数万次。

4、背景溯源

(1)“猜xx”游戏开发者信息

此样本主要是在国内各应用市场上传播,通过比较样本在应用市场上的上架信息,可以看出此类应用的开发公司主要是深圳市****科技有限公司,其主要法人为胡某军。

(2)恶意子包相关信息

根据ROOT模块中解密出来的url链接进行了溯源分析,主要URL为:http://cdn.game***.org,根据域名注册的联系人进行查询,相关企业信息整理如下:

主要产品都是仿冒热门的游戏软件,且都具有流氓广告和恶意推广功能。

5、安全建议

(1)国内各应用市场应完善自身的应用安全性检测机制,定期对应用的安全性进行检查;

(2)应用市场应规范对应用开发者的管理,对于恶意应用的开发者应采取一定的管理措施。

6、关于腾讯反诈骗实验室

腾讯移动安全实验室和腾讯安全反诈骗实验室汇聚国际最顶尖白帽黑客和多位腾讯专家级大数据人才,专注反诈骗技术和安全攻防体系研究。反诈骗实验室拥有全球最大安全云数据库并服务99%中国网民。

时间: 2024-11-09 09:36:17

应用下载需警惕,“猜你妹”病毒潜伏应用市场伺机刷流氓应用的相关文章

中科招商移动互联网行业总监:移动互联网创业需警惕“应用性能黑洞”

移动互联网为众多创业者提供了一条低门槛.高回报的道路,通过一款产品一炮而红的创业团队成为了无数创业人的目标和楷模.成功的创业团队固然令人称羡,但是正在创业中的团队,我们更应该关注那些创业失败者,了解到他们失败的原因,找到他们的经验教训,让这些经验教训成为自身走向成功的基石. 笔者在从事媒体工作时,对于移动互联网行业以及相关技术关注多年,后转型金融工作,对于移动互联网价值体系产生了自己的一些想法,现在拿出来和大家分享一下. 移动互联网的价值体现和流失 移动互联网是一个线上凝聚用户行为,线下产生实际

警惕最新安卓系统病毒"微信大盗"监听手机

国庆小长假刚刚结束,将自己出游的所见所闻发上微信,这是许多人的习惯.不过,近日出现了一个名为"微信大盗"的手机病毒,专门针对微信用户,危害极高.不法分子就是利用假期时人们放松警惕与特殊消费习惯行骗.该病毒基于Android系统,将自身伪装后引诱网民下载安装.手机一旦中毒,用户不但将面临隐私信息泄露等风险,还会遭到黑客的定向监听和定位跟踪,进而可能危及人身安全. "微信大盗"将自己伪装成手机安全管家来引诱网民下载,病毒一旦运行,将立刻删除自己的桌面图标,企图"

毕业季,投资理财有“大坑”,职场新人需警惕

如果把学校比喻成人才的水库,那7月份绝对是泻洪期,每年的这个月份数不清的毕业生流入社会进入职场.作为职场新人,手里刚刚有点余钱,投资理财就会成为大部分人的选择,但是投资有风险.理财需谨慎,不能把自己辛苦刚挣来的钱给打了水漂,下面就来说一下职场新人需要警惕的投资理财的三个大坑. 一.股票 最近风头最盛莫过于股市,整个股市比之过山车有过之而无不及,从开始的大盘一路飙升到5200点,之后突然之间又急剧下跌,一路跌破3400点,之后国家出手,股市小幅上升,这中间一路起起伏伏,有人笑了.有人跳了.更多的人

手机支付购物很时尚,但需警惕安全风险

懒得打开电脑,就用手机银行客户端,交水电费.还信用卡,尤其是网上购物,真是方便.手机购物,移动支付,已经成为了很多人尤其是年轻人的主要支付方式.最新数据显示,我国移动支付用户规模达到2.05亿,半年度增长率为63.4%,网民手机支付的使用比例已提升至38.9%,达5.27亿.伴随着消费迈入移动支付时代,越来越多的手机成为"第二钱包",但移动支付的安全性仍遭到不少质疑. 手机被绑,木马病毒劫走验证码 市民陈女士的银行卡与支付宝绑定,并开通了快捷支付功能.按理说当她在网上消费时,会收到银行

[css]需警惕CSS3属性的书写顺序

转载张鑫旭:http://www.zhangxinxu.com/wordpress/2010/09/%E9%9C%80%E8%AD%A6%E6%83%95css3%E5%B1%9E%E6%80%A7%E7%9A%84%E4%B9%A6%E5%86%99%E9%A1%BA%E5%BA%8F/ 一.不同书写顺序示例 首先是比较聪明和值得推荐的写法: .not-a-square { -webkit-border-radius: 10px; -moz-border-radius: 10px; borde

软交所--下载软件需谨慎

如今,丰富多样的手机软件服务,给智能手机的使用者们带来了很多乐趣.手机阅读.玩游戏.听音乐.看视频.地图搜索等等只要你喜欢,就会下载到手机上.然而,随着提供手机软件服务的第三方公司越来越多,大部分手机对于软件的安全验证力度却实在有限,一些恶意软件也开始趁虚而入. 用户 莫名奇妙被"扣费" 近日,据报道虞先生下载了一款经过伪装的恶意软件,短短一个晚上,在不知情的情况下被扣掉一百多块钱的手机话费,经有关机构检测,才知道该软件携带有病毒,该病毒并非软件一下载就表现出来,而是会潜伏在手机里,等

CTB-Locker敲诈者病毒下载器分析

一. 样本基本信息 样本名称:927354529512.scr 样本大小:110592 字节 病毒名称:Win32.Trojan.Ctb-locker.Auto 样本MD5值:3A6D7E551C132AC4C40D95394938F266 二. 样本脱壳 该样本的出现的时间是2015.5.14日,和今年4月底出现的敲诈者病毒是同一批次,因为下载病毒的网址是一样的,和前面提到的情况一样,病毒依然在程序的代码指令中加入了比较多的垃圾指令,有可能是敲诈者病毒的心态有点急了.4月份出现的敲诈者病毒没之

蠕虫病毒分析

一.背景介绍 蠕虫病毒是一种通过网络传播的恶意病毒,出现的时间晚于木马及宏病毒,但其传播速 度最快,传播范围最广.其传播主要体现在以下两个方面: 1.系统漏洞 2.电子邮件 二.蠕虫病毒的基本程序结构:主程序+引导程序 a) 传播模块:负责蠕虫的传播. b) 隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现. c) 目的功能模块:实现对计算机的控制.监视或破坏等功能. d) 传播模块又可以分为三个基本模块:扫描模块.攻击模块和复制模块. 三.蠕虫病毒的一般传播过程: i. 扫描模块:由蠕虫的扫

Python爬虫之爬取煎蛋网妹子图

这篇文章通过简单的Python爬虫(未使用框架,仅供娱乐)获取并下载煎蛋网妹子图指定页面或全部图片,并将图片下载到磁盘. 首先导入模块:urllib.request.re.os import urllib.request import re import os urllib.request模块用于获取HTML页面数据 re模块用于通过正则表达式解析并截取HTML页面图片url os模块用于文件夹相关操作 代码不多,直接贴出来,代码解释在注释中: def crawl_jiandan(page, p