随着网络购物的发展，各类购物软件应运而生。不少网友开始热衷于抢购物代金券、打车红包、折扣券等。近期AVL移动安全团队截获一款名为《天天红包》的恶意软件，存在泄露个人QQ账号、支付宝账号等恶意行为，说不定领个红包，账号里的钱一下就给掏空了！想想都可怕。经过分析，安全人员发现该恶意软件有如下行为特征：

●

激活设备管理器，隐藏图标，通过邮件和短信上传用户短信、联系人以及用户设备相关信息。

向用户联系人发送包含用户联系人称呼和恶意URL的短信，推送同类恶意应用。

拦截用户短信，执行主控号码发来的指令。

劫持支付宝和手机QQ的登录界面，将用户账号和密码上传到指定邮箱。

阻止用户取消激活设备管理器，以防止被卸载。

一 恶意代码详细分析

1 恶意应用相关信息

该应用是一款名为“天天红包”的APP，程序包名：com.txaw.zxm，图标如下：


2 泄露用户短信、联系人信息

程序运行后会提示用户激活设备管理器，然后隐藏程序图标，继续在后台运行。将用户短信、联系人信息以及用户设备相关信息发送到主控号码，并上传到指定邮箱，以窃取用户隐私。

主控号码和邮箱是通过在native方法返回并base64解密获取。



图1 在native层获取主控号码与邮箱账号密码



3 通过联系人恶意传播

程序运行时会向用户的所有联系人私自发送一条包含用户联系人称呼和“恭喜发财，这里有惊喜t.cn/R4ULSoz”的短信。用户点击短信中的短URL后会下载同类型的恶意应用程序。


图2 向用户联系人群发包含恶意ULR的短信

4 接收并执行短信指令控制

程序还包含短信远程控制功能，当受害用户手机接收主控手机发送的指令短信，会通过相应的短信指令来控制用户手机并执行恶意行为操作。相应的指令和功能如下表所示。



图3 短信指令解析

5 劫持QQ、支付宝登录界面

程序在后台运行时会监测用户手机是否安装了手机QQ和支付宝。我们在分析中还发现了程序包含了用户登录手机QQ和支付宝时会进行界面劫持，窃取用户输入的账号和密码并通过恶意邮箱上传的相关代码，可能会造成用户QQ，支付宝账号和密码相关信息泄露。在当前样本中界面劫持和上传用户账号密码的功能未被调用，但该程序的劫持功能很容易被其他程序调用，猜测可能在后续版本中实现此功能或者与其他恶意程序配合使用。我们进行了简单的尝试外部调用该恶意程序，会出现如下图所示的劫持界面。

图4 支付宝和手机QQ劫持界面



图5 虚假的支付宝界面



图6 虚假的QQ登录界面

6 防止被用户卸载

程序在取消激活设备管理器时会自动跳回到设置的界面，阻止用户对其进行卸载，使用户手机一直处于控制之中。

图7 自动跳转到设置页面

二 安全防护建议

该恶意软件以红包作为诱饵，利用中毒手机的所有联系人进行更大范围的恶意传播，可谓诡计多端。AVL移动安全团队再次提醒用户：

• 不要在非官方网站或者不知名的应用市场下载任何应用。
  
• 对短信中包含的URL的要提高警惕，请勿轻易点击。
  
• 针对此类手机病毒，AVL Pro已经实现查杀。AVL移动安全团队建议大家尽快下载安装AVL Pro对该类木马进行检测和查杀，帮助大家摆脱病毒营造良好手机环境！
  

AVL移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发，提供强大的移动安全解决方案。欢迎关注我们的微信公众号AVLTeam，我们会定期发布一些移动安全相关资讯，希望能够对您有所帮助。 转载请注明来源：http://blog.avlyun.com/?p=2815#from=pediy

文章分享地址：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

• 1.1.jpg （24.89kb，3次下载）
• 1.jpg （38.32kb，11次下载）
• 2.jpg （28.00kb，9次下载）
• 3.jpg （61.55kb，6次下载）
• 4.jpg （31.49kb，5次下载）
• 5.jpg （27.36kb，2次下载）
• 6.jpg （25.78kb，4次下载）
• 7.jpg （26.88kb，3次下载）
• 表1.jpg （25.22kb，2次下载）
• 表2.jpg （45.56kb，1次下载）
• 微信二维码.jpg （26.92kb，1次下载）
• icon.png （12.49kb，1次下载）
• 1.1_副本.jpg （24.52kb，1次下载）