首页 >故事

AVG揭穿画皮之术美色当前更要看好自己的

2019-05-14 21:03:50 | 来源: 故事

有没有想过传说中的画皮出现在您的生活中?有没有兴趣看一看美丽皮囊之下的肮脏交易?近期AVG中国实验室监测到中国地区安卓平台出现了大量的歹意壁纸类应用,利用社会工程学,揣摩各类人群的喜好,制作成秀色可餐的壁纸运用,但在这美丽的画皮之下,还隐藏了处心积虑、手段阴险的罪恶行为,下面就让我们撕开这层美丽的外衣,看看这警省众人的恶鬼。

此类病毒以伪装为壁纸应用,将Payload藏匿于应用包中,利用社会工程学,诱惑用户下载与安装Payload,一旦安装激活,恶意应用将采取重重手段阻止用户卸载,除了获得用户的隐私外,还将通过配置文件指定关键字拦截短信并转发,还可接收短信进行配置文件升级、远程发送短信等操作,不得不说病毒作者为了获利,挖空心思,挖空心思。

病毒作者的上传渠道仍旧是国内的第三方市场与论坛,主题以情色角度动身为多,看来病毒作者深谙此道,也了解国内安卓市场的用户构成,同时还不忘带上热点话题泷泽萝拉和女性朋友喜爱的刘德华,还有受众面较广的萌物等,统统将其打包为恶意应用供用户下载。

下面让我们从中选出一例为大家详细解释此类病毒:

如下图所示,名为帮女同事修电脑动态壁纸的运用,号称壁纸内含图片是发布者帮女同事修电脑时发现的照片,描述其含有58张图片,并放出了四张截图:

但遗憾的是,解包后,我们只看到了5张图片,比图片还要赤裸裸的欺骗行动已经初露端倪:

作为国内较大的第三方市场,我们在机锋市场中也发现了这一运用,不过机锋市场作为一家国内专业的专业市场,对待恶意软件绝不手软,下架迅速,值得鼓励:

下图展示了安装后的一些信息:

让我们启动她,位于动态壁纸:

壁纸启动后,弹出对话框,提示用户,请安装下面的[美女游戏]获取积分100点,积分获得后可使用。

确定安装后,将弹出Android系统服务(payload)的安装请求:

一旦用户选择了安装,将弹出激活装备管理器的对话框,病毒作者对其编写的Android系统服务描写为:推荐激活系统服务,系统服务可以帮您的的节省电量。

如果用户试图选择取消,对不起,它还将继续强制弹出这个对话框,直到用户选择了激活为止:

程序中还对某些可能对其造成被卸载或被停止等威逼的情况进行了处理,当进入以下界面后,将强制弹回至系统首页:

1、 查看病毒的详细安装信息。

2、 查看设备管理器。

3、 进入国内某安全软件的一键加速界面

public void handleNewLine(String s)

{

(new Message()).obj = s;

if (ntains("EW cmp=ttings/.InstalledAppDetails") || ntains("LETE")

ntains(getPackageName()) || ntains("cmp=ttings/.DeviceAdminSettings") || ntains("ttings")

ntains(getPackageName()) || ntains("bilesafe/.tiOneKeyActivity"))

{

Intent intent = new Intent("IN");

tFlags(0x);

dCategory("ME");

startActivity(intent);

}

}

Payload位于壁纸安装包的资源文件夹内文件名为g,企图伪装成图片文件,实质为APK安装包,包名

具有以下权限:

CEIVE_BOOT_COMPLETED"

CEIVE_SMS

ND_SMS

AD_SMS

ITE_SMS

ERNET

CESS_NETWORK_STATE

AD_PHONE_STATE

CESS_WIFI_STATE

AD_LOGS

LL_BACKGROUND_PROCESSES

START_PACKAGES

T_TASKS

这些权限将被用于收发、读写短信,自我保护,获取系统信息等功用。

下列代码展示了其获得系统信息的功能,包含了型号、系统版本、语言、络状态、是否ROOT等:

mActivityManager = (ActivityManager)getSystemService("activity");

getRunningServiceInfo();

rt(serviceInfoList, new comparatorServiceLable(null));

obj = (TelephonyManager)getSystemService("phone");

s5 = (new StringBuilder()).append(((TelephonyManager) (obj)).getDeviceId()).toString();

s2 = (new StringBuilder()).append(((TelephonyManager) (obj)).getSimSerialNumber()).toString();

obj2 = (new StringBuilder()).append(tString(getContentResolver(), "android_id")).toString();

obj2 = new UUID(((String) (obj2)).hashCode(), (long)shCode() 32 | (long)shCode());

((UUID) (obj2)).toString();

((TelephonyManager) (obj)).getSubscriberId();

((TelephonyManager) (obj)).getLine1Number();

DEL;

((WifiManager)getSystemService("wifi")).getConnectionInfo().getMacAddress();

((TelephonyManager) (obj)).getSimCountryIso();

此病毒一改以往的络CC服务器控制方式,采用全程短信控制,病毒作者目前使用的号为+,来自安徽省中国联通。

采用配置文件对歹意软件行为进行控制,配置文件含有D、K、zdh,三个字段,分别表示了服务端号码(号)、关键字等。使用S、J、M、con、rep、E、xgh、xgnr等字段进行配置文件升级、短信发送、捏造等功能。

配置文件内容:

?xml version='1.0' encoding='utf-8'?

up

H

D/D

/H

K

n转/n

n卡号/n

n姓名/n

n行/n

n元/n

n汇/n

n款/n

nhello/n

/K

A

zdh10/zdh

/A

/up

说了这么多细节,病毒作者到底能通过这些下流手段获得甚么呢?

1、通过灵活配置短信,拦截短信、捏造短信,利用话费进行消费。

2、获得银行卡号,姓名等信息,且取款密码同时在短信中泄露,或密码为生日等弱口令,将有可能被其利用,例如:如果用户开通了上银行且开通了支付,可利用银进行消费。

3、获取用户大量隐私信息,可针对某位用户或某类用户进行定向钓鱼欺骗,谋求更多获利的可能性。

可以看出,此类病毒对用户的危害巨大,通过上面的分析,我们可以发现,病毒作者主要利用了两种手段,一为诱惑,二为欺骗,希望大家都可以做到:耐得住寂寞,经得起诱惑。

撕掉恶鬼的画皮后,为了帮助大家建立良好的安全防范意识,下面为大家提供几条建议:

1、 对于这类无实际意义且明显带有诱惑性质的应用,应小心安装。

2、 论坛内里鱼龙混杂,应用的安全性要小于第三方市场,而第三方市场的安全性,又小于官方市场,应谨慎识别、安装。

3、 培养自己的软件使用安全意识,常常浏览AVG安全软件的报告,可以帮助您建立起这类意识。

4、 除国内常见的安全辅助工具,可同时安装一款全球知名的专注于反病毒的安全软件。

治疗痛经的简单方法
怎么样治疗月经不调
月经过多贫血吃什么好

猜你喜欢