首页
课程
问答
CTF
社区
招聘
峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
峰会
看雪商城
证书查询
社区
Android安全
发新帖
2
0
[原创]警惕恶意代码传播者盯上QQ群
发表于: 2014-12-4 17:44
8844
[原创]警惕恶意代码传播者盯上QQ群
AVLTeam
2014-12-4 17:44
8844
概述
AVL移动安全团队近期收到部分网友反馈一些QQ群里面出现一些“安卓系统加速器.apk”、“11月银行清单资料.apk”、“聚会相册.apk”等可疑文件,经分析后发现均为手机恶意木马软件。黑产人员将这些恶意软件伪装成为重要资料、系统工具等诱导用户下载安装,最终是为了窃取用户手机中的重隐私信息,牟取经济利益等。
随着移动互联网发展,使用手机QQ的用户越来越多,那么用户很容易在使用手机QQ群时被诱导安装恶意软件,造成不必要的损失。据粗略估计最近一个星期已有大批QQ用户因此中招。
QQ群推广恶意软件实例分析
恶意软件传播者疯狂加QQ群并上传恶意软件到“群共享”,诱骗网友下载安装。以下是我们选取的部分在QQ群推广的恶意软件实例。
“安卓系统加速器.apk”
该恶意软件伪装成系统工具被人直接上传至某Android安全讨论群。该用户进群后立即上传恶意软件,目的性表现的非常明显。
分析发现该木马实际上就是之前国内大范围爆发的“XX神器”的恶意子包。“XX神器”主包负责短信恶意传播,而子包部分则负责拦截窃取短信、邮箱上传隐私、获取淘宝信息等。(“XX神器”分析详情请参见
xxshenqi木马分析报告
) 下图是该软件执行短信拦截行为的代码:
对比之前“XX神器”的恶意样本,该木马包结构与其包结构完全相同。对比两者反编译的smali代码,其主要差异只在于手机号码不同,使用寄存器都完全一样,因此判断该恶意软件是经反编译后修改手机号码再进行了重打包。由此可见恶意代码开发成本其实也相当之低。
“11月银行清单资料.apk”
该恶意软件伪装成银行资料,被人投放进某移动安全用户群的“群共享”。
经分析发现该木马属于短信拦截马,安装运行后删除图标,伪装成系统服务,拦截所有的短信,并将接收到的短信转发到指定号码。 下图代码即是短信拦截部分:
“聚会相册.apk”
该恶意软件伪装成聚会相册,被人投放至某高校计算机系硕士群。
该恶意软件运行时会安装恶意子包,诱导用户激活设备管理器,转发用户收件箱至指定手机号,给用户带来隐私泄露和资费消耗。 该样本发送短信、拦截屏蔽短信功能都在恶意子包中:
总结
这三个软件均是属于短信拦截、隐私窃取类型的木马,均能被
AVL Pro
检出,详细检出信息如下:
利用QQ群传播PC端恶意木马由来已久,但传播手机木马则相对少见。随着手机上网聊天的人越来越多,加上恶意代码开发成本越来越低,这类传播行为肯定会愈演愈烈。恶意传播者疯狂在各类QQ群中上传此类手机木马软件,诱导网友安装使用,从而达到其不法目的。(
“短信拦截马黑产揭露”
揭露了从木马开发到恶意传播至非法获利的整个过程。)
安全建议
对于安全厂商而言,抑制恶意代码的传播需要控制其传播渠道。比如这类通过社交聊天群恶意传播木马的情况,则需要运营社交聊天工具的公司加强对共享上传文件的检测。
对于个人用户而言,则需要注意保持良好的上网习惯,遇到可疑文件,切勿随意下载安装使用。同时用户可以使用AVL Pro对此类木马进行检测。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
上传的附件:
盯上QQ群.jpg
(42.01kb,8次下载)
11.jpg
(24.80kb,1次下载)
22.jpg
(26.59kb,1次下载)
33.jpg
(15.46kb,2次下载)
44.jpg
(77.37kb,1次下载)
55.jpg
(48.41kb,1次下载)
66.jpg
(22.97kb,1次下载)
77.jpg
(25.09kb,1次下载)
88.jpg
(40.37kb,1次下载)
99.jpg
(44.74kb,21次下载)
收藏
・
2
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
感谢分享~
最新回复
(
4
)
Morgion
雪 币:
608
活跃值:
(648)
能力值:
( LV4,RANK:50 )
在线值:
发帖
9
回帖
649
粉丝
5
关注
私信
Morgion
1
2
楼
这个比较常见的吧。只是换成安卓apk罢了,好多加群的目的就是传木马。
最简单的办法就是看Q龄还有头像,性别。
Q龄是0,头像是绿茶婊,性别是女性的往群里加,一概拒绝
2014-12-4 19:03
0
谷月轩
雪 币:
102
活跃值:
(31)
能力值:
( LV4,RANK:50 )
在线值:
发帖
26
回帖
305
粉丝
1
关注
私信
谷月轩
1
3
楼
AVL 这广告打得好.
2014-12-4 19:29
0
yjd
雪 币:
2882
活跃值:
(1315)
能力值:
( LV2,RANK:10 )
在线值:
发帖
9
回帖
779
粉丝
1
关注
私信
yjd
4
楼
我在某个群也看到了。有些小白下了然后说银行被刷了不少。短信发不出去。。。
一看聚会相册还是apk格式。下都不用下^_^
2014-12-4 22:19
0
xouou
雪 币:
90
活跃值:
(91)
能力值:
( LV2,RANK:10 )
在线值:
发帖
16
回帖
1075
粉丝
1
关注
私信
xouou
5
楼
这篇文章应该放在腾讯首页 放在这意义不大
2014-12-5 10:54
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
AVLTeam
74
发帖
83
回帖
20
RANK
关注
私信
他的文章
[原创]Gaza Cybergang在移动端对阿拉伯语地区的攻击事件
5106
[原创]安全引擎安天造:超两成有效移动杀毒软件采用安天反病毒引擎
7043
[原创][分享]关于海莲花组织针对移动设备攻击的分析报告
6919
[原创]安天移动安全反病毒技术发展报告——安天移动恶意代码对抗的8年之路
10302
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
谁下载
×
笨奔
MTrickster
monnyabc
过客guoke
谁下载
×
谁下载
×
谁下载
×
AVLTeam
谁下载
×
谁下载
×
谁下载
×
谁下载
×
谁下载
×
谁下载
×
tom
niuzuoquan
yangya
sky科
月光阴影
值得怀疑
geekbber
wssbwpp
过客guoke
firstblade
keilin
hqfdsyj
黑心
a傻子真多啊
cNigTrack
a白小痴
AVLTeam
看原图
赞赏
×
雪币:
+
留言:
快捷留言
为你点赞!
返回
顶部