本文章由Jack_Jia編寫,轉載請註明出處。
文章鏈接:http://blog.csdn.net/jiazhijun/article/details/18816557
作者:Jack_Jia 郵箱: [email protected]
近期百度安全實驗室發現了一款可以避過手機安全軟件查殺的新型手機病毒,AVPasser。該病毒會竊取用戶的照片,短信,聯繫人和通話記錄,並且在您不知情的情況下對您的通話進行錄音,使用前置攝像頭偷拍用戶,並上傳至遠程服務器,對用戶的隱私造成極大的威脅。該病毒的最大亮點是它會向用戶請求超級用戶權限,在獲得後篡改多家手機安全軟件的數據庫文件,從而躲避安全軟件的檢測和監控。
該病毒會僞裝成QQ ,系統更新程序或者手機安全軟件等正常應用,在安裝後會顯示多個圖標,如圖一:
圖一:安裝後 圖二:運行後
任意點擊其中一個圖標,都會啓動該病毒的惡意代碼,然後轉至後臺執行,並隱藏應用圖標。
現在讓我們看一看這個病毒程序的內容
註冊的惡意Android組件:
惡意代碼樹結構:
通過逆向分析,我們可以得到如下的惡意組件交互圖:
隱私竊取的行爲不是我們今天分析的重點,今天主要介紹惡意軟件如何通過修改安全軟件數據逃避檢測和監控。從代碼可以看出,惡意軟件作者對國內的流行安全軟件做了逐一針對性的研究。
判斷是否安全如下安全軟件,如果安裝則調用相應安全軟件的躲避檢測模塊,逃避查殺:
篡改騰訊手機管家數據庫的部分惡意代碼
篡改LBE手機安全大師數據庫的部分惡意代碼
篡改金山手機毒霸數據庫的部分惡意代碼
篡改網秦安全數據庫的部分惡意代碼
篡改瑞星手機安全軟件數據庫的部分惡意代碼