首页
社区
课程
招聘
[原创]警惕恶意代码传播者盯上QQ群
发表于: 2014-12-4 17:44 8844

[原创]警惕恶意代码传播者盯上QQ群

2014-12-4 17:44
8844

概述

AVL移动安全团队近期收到部分网友反馈一些QQ群里面出现一些“安卓系统加速器.apk”、“11月银行清单资料.apk”、“聚会相册.apk”等可疑文件,经分析后发现均为手机恶意木马软件。黑产人员将这些恶意软件伪装成为重要资料、系统工具等诱导用户下载安装,最终是为了窃取用户手机中的重隐私信息,牟取经济利益等。

随着移动互联网发展,使用手机QQ的用户越来越多,那么用户很容易在使用手机QQ群时被诱导安装恶意软件,造成不必要的损失。据粗略估计最近一个星期已有大批QQ用户因此中招。


QQ群推广恶意软件实例分析

恶意软件传播者疯狂加QQ群并上传恶意软件到“群共享”,诱骗网友下载安装。以下是我们选取的部分在QQ群推广的恶意软件实例。

“安卓系统加速器.apk”

该恶意软件伪装成系统工具被人直接上传至某Android安全讨论群。该用户进群后立即上传恶意软件,目的性表现的非常明显。

分析发现该木马实际上就是之前国内大范围爆发的“XX神器”的恶意子包。“XX神器”主包负责短信恶意传播,而子包部分则负责拦截窃取短信、邮箱上传隐私、获取淘宝信息等。(“XX神器”分析详情请参见xxshenqi木马分析报告) 下图是该软件执行短信拦截行为的代码:

对比之前“XX神器”的恶意样本,该木马包结构与其包结构完全相同。对比两者反编译的smali代码,其主要差异只在于手机号码不同,使用寄存器都完全一样,因此判断该恶意软件是经反编译后修改手机号码再进行了重打包。由此可见恶意代码开发成本其实也相当之低。


“11月银行清单资料.apk”

该恶意软件伪装成银行资料,被人投放进某移动安全用户群的“群共享”。

经分析发现该木马属于短信拦截马,安装运行后删除图标,伪装成系统服务,拦截所有的短信,并将接收到的短信转发到指定号码。 下图代码即是短信拦截部分:


“聚会相册.apk”

该恶意软件伪装成聚会相册,被人投放至某高校计算机系硕士群。

该恶意软件运行时会安装恶意子包,诱导用户激活设备管理器,转发用户收件箱至指定手机号,给用户带来隐私泄露和资费消耗。 该样本发送短信、拦截屏蔽短信功能都在恶意子包中:


总结

这三个软件均是属于短信拦截、隐私窃取类型的木马,均能被AVL Pro检出,详细检出信息如下:


利用QQ群传播PC端恶意木马由来已久,但传播手机木马则相对少见。随着手机上网聊天的人越来越多,加上恶意代码开发成本越来越低,这类传播行为肯定会愈演愈烈。恶意传播者疯狂在各类QQ群中上传此类手机木马软件,诱导网友安装使用,从而达到其不法目的。( “短信拦截马黑产揭露”揭露了从木马开发到恶意传播至非法获利的整个过程。)

安全建议

对于安全厂商而言,抑制恶意代码的传播需要控制其传播渠道。比如这类通过社交聊天群恶意传播木马的情况,则需要运营社交聊天工具的公司加强对共享上传文件的检测。

对于个人用户而言,则需要注意保持良好的上网习惯,遇到可疑文件,切勿随意下载安装使用。同时用户可以使用AVL Pro对此类木马进行检测。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 608
活跃值: (648)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
这个比较常见的吧。只是换成安卓apk罢了,好多加群的目的就是传木马。

最简单的办法就是看Q龄还有头像,性别。
Q龄是0,头像是绿茶婊,性别是女性的往群里加,一概拒绝
2014-12-4 19:03
0
雪    币: 102
活跃值: (31)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
AVL 这广告打得好.
2014-12-4 19:29
0
雪    币: 2882
活跃值: (1315)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yjd
4
我在某个群也看到了。有些小白下了然后说银行被刷了不少。短信发不出去。。。

一看聚会相册还是apk格式。下都不用下^_^
2014-12-4 22:19
0
雪    币: 90
活跃值: (91)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
这篇文章应该放在腾讯首页   放在这意义不大
2014-12-5 10:54
0
游客
登录 | 注册 方可回帖
返回
//