色情应用暗藏杀机,宅男福利竟成“灾难降临”

8月14日凌晨,王宝强通过社交媒体发布离婚声明,消息一出即刻引爆社交圈。一夜之间,部分恶意开发者立即抓住机会,利用此次事件散播“xx抓奸视频”“宋x马x录像”等恶意链接,并悄然传播,极大地威胁着“吃瓜群众”的隐私和财产安全。

通过伪装成“色情视频”“美女写真”等所谓宅男福利以进行恶意传播的现象,在PC端已司空见惯。 按理说用户对这类老套的手法早就有较强的防范意识,但据安天AVL移动安全团队和猎豹移动安全实验室最新捕获的一个病毒发现,这种手法虽然老套,但是恶意攻击效果之显著,令人咋舌。

近期,安天AVL移动安全团队和猎豹移动安全实验室捕获一款名为SexTrap的病毒,该病毒潜伏在色情应用中,一旦用户下载并安装该色情应用,灾难将降临至用户手机中。SexTrap病毒一旦运行,将立即加载恶意子包私自提权以获取Root权限,利用手机最高权限将下载的核心推送模块推送到系统目录下并锁定,使用户难以察觉和卸载;然后私自联网获取推送数据,进一步向用户手机系统目录推送包含恶意扣费模块的恶意应用,并通过远程控制指令启动运行此类应用,给用户造成极大经济损失。

哪个省份的用户最容易中招?

SexTrap病毒自6月捕获至今,在国内大部分地区广泛传播。截止目前各个省份的感染情况如下图所示。从图中可以看出,广东省是病毒感染人数最多的省份,山东省紧跟其后,随后是北京市、河北省以及河南省。

病毒详细分析

病毒运行流程

SexTrap病毒运行流程可以分为三个部分:

Part1:通过母体程序加载调用恶意子包

携带SexTrap病毒的母体程序运行时加载libMwzgrqfvuo.so(每个母体内的so文件名称不同,以此为例)文件,通过so文件调用资源文件中名为“xme.png”实为apk程序的恶意子包。该程序通过类加载器反射调用恶意子包中com.dex.kit.MainClass类的startAction方法来启动恶意子包。

Part2:私自对用户手机提权,联网下载核心推送模块

a)     恶意子包启动时联网上传用户手机型号等信息获取Root方案和下载地址,下载相应的提权文件并解密,利用Android漏洞对用户手机进行提权。

b)     联网获取下载SexTrap病毒核心推送模块的下载地址和指令信息。该恶意程序通过二次联网下载核心推送模块,并将其静默安装并推送到系统目录下,最后执行网络指令启动该模块。

c)      恶意子包读取并解析母体程序资源文件夹中的mcg.bak文件,获取恶意程序的下载地址和启动指令,联网下载恶意程序然后将其推送到系统目录下并通过指令启动。该恶意应用同样具有推送的功能。

Part3:下载、安装、运行、推送应用

核心推送模块启动后会不断联网获取推送数据并下载推送的apk,同时利用Root权限将其推送到系统目录下,然后静默安装,最后通过网络指令使用将其启动,对用户造成极大的资费损耗。

1.加载调用恶意子包

SexTrap病毒运行时加载so文件,加载资源文件中的恶意子包,通过类加载器反射调用com.dex.kit.MainClass类的startAction方法来启动恶意子包。

so文件反射调用恶意子包。

2.私自获取Root权限

恶意子包运行时会上传用户的手机信息,根据手机信息下载多种 Root方案包括“858”、“778”、“611”、“841”、“52”,根据Root方案对应的提权文件对用户手机进行提权,提权成功后删除提权文件。

下载提权文件网络截图:

提权后释放的工具文件。

3.下载安装核心模块

恶意子包在本地解密并获取核心模块的下载地址,进行下载。

上图是获取核心模块下载地址的抓包截图。获取的数据主要包含字段“sd”:通过am启动KitService服务来远程启动核心模块、“dl”:核心模块下载地址、“pn”:核心模块包名。

静默安装核心模块并通过上面获取的网络指令启动,同时将其推送到系统目录中并锁定。

同时恶意子包还会读取母体程序资源文件mcg.bak,下载同类推送恶意程序。下载后的文件是一个zip文件,其中包含要安装的应用和启动指令。

cfg文件中保存着远程服务器控制安装应用和启动应用的指令。

恶意子包下载的文件都会保存SD卡隐藏目录.work中。

 4.推送恶意扣费应用

SexTrap病毒核心模块运行时会持续联网获取推送数据并保存在本地/data/data/<packagename>/shared_prefs/i_app_info.xml文件中。同时该病毒会将下载的恶意应用保存在SD卡Android/data/cache/tmp目录中,这些恶意应用被安装运行后会被删除。

下图为部分联网推送的数据信息:

保存在i_app_info.xml中的推送数据具体字段说明如下:

推送色情类的扣费App。

总结

SexTrap病毒通过潜伏在色情应用中传播,方法较老套但是传播效果极佳。一方面,该病毒将恶意子包伪装成后缀为“.png”的文件,在安装完推广应用之后立即删除安装包文件,这一系列操作都是为了躲避杀软的查杀,隐蔽性极强。另一方面,该病毒为增加提权操作的成功率,会上传感染用户的设备信息,以获取针对性的Root方案和提权工具,攻击手段难以防范。从该病毒以及之前播报过的病毒可以看出,新出现的病毒大多隐蔽性极强,同时对Root的依赖性较高,安天AVL移动安全团队特此提醒广大用户尽量不要Root手机,一旦发现手机在不知情下被Root时,要警惕是否感染了病毒并立即安装杀毒软件对病毒进行查杀。

安全建议

针对SexTrap系列病毒,AVL Inside系列集成合作方产品和猎豹专杀工具已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:

l  请使用绿色、健康的应用,并保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;

l  谨慎点击软件内推送的应用,不安装来源不清楚的应用;

l  不要轻易授权给不信任的软件Root权限;

l  如果您已经中了类似病毒,建议您使用Root工具将设备进行Root,使用杀毒软件及时查杀病毒。查杀完成后,如您不再使用Root,请务必使用Root工具取消Root,避免Root权限被滥用带来的设备安全问题。

安天AVL移动安全专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案。2014年,猎豹与安天AVL移动安全团队达成引擎战略合作。

AVL Inside以全球最佳移动反病毒引擎为核心,专注于为企业和厂商伙伴提供针对性的移动终端威胁防护解决方案,如病毒检测、金融安全防护、上网安全防护等安全能力输出。目前已与众多知名厂商达成战略合作,为猎豹、小米MIUI、阿里云YunOS、OPPO、努比亚、步步高、LBE、安卓清理大师、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。

更多技术文章,请关注AVL Team官方微信号

时间: 2024-10-09 09:15:21

色情应用暗藏杀机,宅男福利竟成“灾难降临”的相关文章

一个简单的爬虫脚本--宅男福利

闲来无事,扒一扒那些美女们的照片 import urllib.request url = "http://img1.mm131.com/pic/2537/" for i in range(1,50,1):     page_url = url + str(i) + '.jpg'     response = urllib.request.urlopen(page_url)     cat_img = response.read()     filename = page_url.spl

事件机制(经典案例+宅男福利)

------------------效果图如上---------------- 效果是:屏幕左中右都可以独立的上下拖动,前提是在高度一半的下方,在屏幕上半部分向上拖动,是整体图片向上拖动 activity_main.xml <com.atguigu.pinterestlistview.MyLinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:tools="http://

宅男福利:快看这些科技美女们

1.深圳文博会上的迎宾机器人——武媚娘 深圳文博会分会现场出现迎宾机器人武媚娘,其眼睛和手等部位和真人一样会动,嘴巴也会说话,能够和人们一起聊天.但是不少网友表示对这款机器人并不感冒,因为太丑了,功能也太少了. 2.中国科学技术大学研发的美女机器人——佳佳 “佳佳”由中国科学技术大学研发,在传统功能性体验之外,首次提出并探索了机器人品格定义,以及机器人形象与其品格和功能协调一致,赋予“佳佳”善良.勤恳.智慧的品格. 3.山东契约文化博物馆的机器人讲解员——聊城 山东契约文化博物馆的机器人“美女讲

棋牌外挂年入千万,20秒小视频骗遍宅男,揭秘诱导欺诈_转

转自:棋牌外挂年入千万,20秒小视频骗遍宅男,揭秘诱导欺诈   https://news.cnblogs.com/n/618203/ 文/木子梨 来源:一本黑(ID:darkinsider) 在如今这个“流量为王”的时代,毫不夸张的说,流量就等同于金钱. 话虽如此,但如何最大限度的把流量换成金钱,这是一门学问. 金钱在诱惑骗子,骗子只能来诱惑你. 那些你也许从来都不屑的软件,实则充满着令人不可思议的套路和暴利. 01 一款棋牌辅助软件中,竟隐藏着年收入近 5000 万的诱导支付交易 最近,在一次

老司机太多?为何科技宅男爱“撸串”

"撸",原本是宅男是家里做某些不可言说的事儿的代名词,但随着网络文化的发酵,迅速爆红.尤其是夜市文化,演变成了"撸串文化".一个人撸串,撸的是心情:两个人撸串,撸的是默契:三个人撸串,撸的是江湖.撸串时每个小餐桌都是一个指点江山.挥斥方遒的大舞台.对于科技宅男来说,更是难得的放松机会.那么问题来了,对互联网熟稔至极,个个都是老司机的互联网"民工"们,为何独爱"撸串"? 近日58同城和京东接连被曝光要采用"996&qu

宅男也可变形男-我是如何在11个月零27天减掉80斤的

对我人生态度起到决定性的一个事件 这个事情说起来也是源于98年的一次初中同学聚会,在我的"一切源于一台笔记本"里我提到过,当时我是中专毕业.早早的工作了. 96年11月份开始工作,而当时的初中同学们都还在读高中,一时间觉得自己有收入了可以开销了. 同时我们那个初中和一般学校不一样,因为都是复旦教师的子弟,因此我们从托儿所到幼儿园到小学到初中都是同一批人,感情彼深. 我自己又是一个极念旧情的人,因此一开始有收入后第一件事就是想到的是请以前初中的同学们出来玩,吃饭. 96年开始一年一次,每

宅男计划:单峰函数三分

Description 自从迷上了拼图,JYY 就变成了个彻底的宅男.为了解决温饱问题,JYY 不得不依靠叫外卖来维持生计. 外卖店一共有n种食物,分别由1到n编号.第i种食物有固定的价钱Pi和保质期Si.第i种食物会在Si天后过期.JYY 是不会吃过期食物的.比如 JYY 如果今天点了一份保质期为0天的食物,那么 JYY 必须在今天或者明天把这个食物吃掉,否则这个食物就再也不能吃了.保质期可以为天,这样这份食物就必须在购买当天吃掉. JYY 现在有M块钱,每一次叫外卖需要额外付给送外卖小哥外送

快播公司2.6亿元天价侵权罚款 侵了宅男们的心

 腾讯笑了,快播完了,宅男哭了.小编的手手在颤抖,2.6亿后面是几个零?这可是无数个闷骚小男人辛苦赚来的零花钱啊,全都变相纳税去了,555- 6月26日,快播公司2.6亿罚单正式生效,有关部门限定其在15日内缴清,若逾期不缴,则每日加罚罚款总额的3%(大约为780万元).这是国内对侵权案件的最大罚单,太狠了吧!宅男们掩面哭泣,痛不欲生. 来看看深圳市场监管局稽查大队执法人员将侵权行政处罚2.6亿元罚单送到快播公司的庄严场面吧,罚单即日生效哦!http://www.71shi.net/?p=2

bzoj3874[Ahoi2014]宅男计划

bzoj3874[Ahoi2014]宅男计划 题意: n种食物,每种有价钱和保质期.每次叫外卖要F元,可以购买任意多份食物.共有m元,问一共能过多少天使得每天都能吃到一份不过期的食物. 题解: 先排序+单调队列去掉那些价钱贵保质期反而短的外卖,剩下的队列按保质期从短到长排(也就是价钱从便宜到贵排).然后有结论:生存天数为以叫外卖次数为自变量的单峰函数.因此三分叫外卖次数(注意上界为m/最便宜外卖的价钱),如何根据叫外卖次数求生存天数呢?又有结论:每次叫外卖间隔时间越平均越优.设叫外卖次数为k,从