-
-
[原创]警惕恶意代码传播者盯上QQ群
-
2014-12-4 17:44
-
AVL移动安全团队近期收到部分网友反馈一些QQ群里面出现一些“安卓系统加速器.apk”、“11月银行清单资料.apk”、“聚会相册.apk”等可疑文件,经分析后发现均为手机恶意木马软件。黑产人员将这些恶意软件伪装成为重要资料、系统工具等诱导用户下载安装,最终是为了窃取用户手机中的重隐私信息,牟取经济利益等。
随着移动互联网发展,使用手机QQ的用户越来越多,那么用户很容易在使用手机QQ群时被诱导安装恶意软件,造成不必要的损失。据粗略估计最近一个星期已有大批QQ用户因此中招。
QQ群推广恶意软件实例分析
恶意软件传播者疯狂加QQ群并上传恶意软件到“群共享”,诱骗网友下载安装。以下是我们选取的部分在QQ群推广的恶意软件实例。
“安卓系统加速器.apk”
该恶意软件伪装成系统工具被人直接上传至某Android安全讨论群。该用户进群后立即上传恶意软件,目的性表现的非常明显。
分析发现该木马实际上就是之前国内大范围爆发的“XX神器”的恶意子包。“XX神器”主包负责短信恶意传播,而子包部分则负责拦截窃取短信、邮箱上传隐私、获取淘宝信息等。(“XX神器”分析详情请参见xxshenqi木马分析报告) 下图是该软件执行短信拦截行为的代码:
对比之前“XX神器”的恶意样本,该木马包结构与其包结构完全相同。对比两者反编译的smali代码,其主要差异只在于手机号码不同,使用寄存器都完全一样,因此判断该恶意软件是经反编译后修改手机号码再进行了重打包。由此可见恶意代码开发成本其实也相当之低。
“11月银行清单资料.apk”
该恶意软件伪装成银行资料,被人投放进某移动安全用户群的“群共享”。
经分析发现该木马属于短信拦截马,安装运行后删除图标,伪装成系统服务,拦截所有的短信,并将接收到的短信转发到指定号码。 下图代码即是短信拦截部分:
“聚会相册.apk”
该恶意软件伪装成聚会相册,被人投放至某高校计算机系硕士群。
该恶意软件运行时会安装恶意子包,诱导用户激活设备管理器,转发用户收件箱至指定手机号,给用户带来隐私泄露和资费消耗。 该样本发送短信、拦截屏蔽短信功能都在恶意子包中:
总结
这三个软件均是属于短信拦截、隐私窃取类型的木马,均能被AVL Pro检出,详细检出信息如下:
利用QQ群传播PC端恶意木马由来已久,但传播手机木马则相对少见。随着手机上网聊天的人越来越多,加上恶意代码开发成本越来越低,这类传播行为肯定会愈演愈烈。恶意传播者疯狂在各类QQ群中上传此类手机木马软件,诱导网友安装使用,从而达到其不法目的。( “短信拦截马黑产揭露”揭露了从木马开发到恶意传播至非法获利的整个过程。)
安全建议
对于安全厂商而言,抑制恶意代码的传播需要控制其传播渠道。比如这类通过社交聊天群恶意传播木马的情况,则需要运营社交聊天工具的公司加强对共享上传文件的检测。
对于个人用户而言,则需要注意保持良好的上网习惯,遇到可疑文件,切勿随意下载安装使用。同时用户可以使用AVL Pro对此类木马进行检测。
阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开 发者可享99元/年,续费同价!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
