本文章由Jack_Jia編寫,轉載請註明出處。
文章鏈接:http://blog.csdn.net/jiazhijun/article/details/11772379
作者:Jack_Jia 郵箱: [email protected]
近期百度安全實驗室發現一款ZooTiger新病毒,該病毒集吸費、隱私竊取、惡意推廣功能與一身,該病毒目前已感染大批第三方應用市場內的“功夫熊貓3”、“小豬愛打架”等大批流行遊戲。該病毒集多種惡意行爲於一身,堪稱Android病毒的“功夫熊貓”。
目前該病毒樣本在各市場已有10萬以上的下載量,以下是某第三方市場樣本截圖:
該病毒啓動後,後臺偷偷訪問遠端服務器獲取指令,並根據服務器端指令完成以下惡意行爲:
惡意推廣方面:
1、後臺自動下載應用提示安裝。
2、插入廣告短信到您的短信收件箱。
3、打開指定的應用。
4、打開瀏覽器訪問指定網頁。
隱私竊取方面:
1、上傳您的聯繫人信息到服務器。
惡意吸費方面:
1、後臺私自發送短信訂閱付費服務。
2、通過WAP訂閱扣費服務並自動完成扣費流程。
目前該病毒的遠端指令服務器有以下幾個,客戶端隨機選擇指令服務器獲取指令:
http://sdk.gmdrm.com/sdk/{ actiontype}
http://sdk.meply.net/sdk/{ actiontype}
http://sdk.lvply.com/sdk/{ actiontype}
http://sdk.plygm.com/sdk/{ actiontype}
http://sdk.ilvgm.com/sdk/{ actiontype}
下面對該病毒樣本進行簡單分析:
樣本MD5 :a783fbcfc82db8912475f11184b27a59
應用包名:com.play.kfpanda
惡意代碼結構樹:
(披了一層貌似SDK的外衣)
1、首先該病毒在AndroidManifest.xml文件註冊大量系統頻發廣播,以便惡意組件能夠順利運行。
3、當zoo.tiger.sdk.core.StateReceiver接收到開機、網絡連接變化等系統廣播後啓動CoreService和PayService兩個關鍵服務。
4、CoreService服務完成以下惡意行爲:
後臺自動下載應用提示安裝。
插入廣告短信到您的短信收件箱。
打開指定的應用,通過瀏覽器訪問指定網頁。
上傳您的聯繫人信息到服務器
5、PayService服務完成以下吸費惡意行爲
通過SMS訂閱SP服務、WAP訪問扣費服務