本文章由Jack_Jia編寫,轉載請註明出處。
文章鏈接:http://blog.csdn.net/jiazhijun/article/details/11935911
作者:Jack_Jia 郵箱: [email protected]
近期百度安全實驗室發現一款“UkyadPay“新病毒,該病毒目前已感染快播、超級小白點、蘿莉保衛戰等大批流行應用。該病毒啓動後,後臺偷偷訪問遠端服務器獲取指令,並根據服務器端指令執行如下惡意行爲:
1、後臺通過cmwap訪問收費視頻,並自動完成扣費流程。(該病毒僅針對中國移動用戶吸費)
2、後臺自動化點擊訪問daoyoudao和宜搜廣告聯盟廣告,自動下載應用。 誘騙廣告平臺獲取推廣費用。 消耗用戶大量的數據流量。
從惡意行爲中可以看出,惡意軟件開發者獲利手段有以下兩種:SP分成和廣告聯盟推廣分成。
下面對該病毒樣本進行簡單分析:
1、首先該病毒在AndroidManifest.xml文件註冊系統頻發廣播,以便惡意組件能夠順利運行。
2、惡意代碼樹結構:
3、惡意組件運行機制:
經過對該病毒樣本代碼的逆向分析,該病毒的運行原理也基本浮出水面,下圖爲惡意軟件註冊Android組件及之間調用關係。
以下是關鍵惡意代碼截圖:
(1)自動化完成點播收費視頻。
(2)自動化訪問Daoyoudao廣告,下載推廣應用。
(3)自動化訪問“宜搜”廣告,並模擬點擊。
該病毒爲了扣費不引起用戶和移動運營商的注意。對每天和每月都有最大扣費次數的限制。達到上限則不再促發扣費邏輯。