请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题
  赛门铁克的研究人员最近在中国的一些应用程序商城、论坛、下载网站和流行的社交网络中发现了一个伪装成色情应用程序的恶意工具包(将其标识为Android.Rootnik.B)。

  该恶意工具包伪装成成千上万个色情应用程序,主要针对中文用户进行感染,主要功能包括:

  Root被感染的Android设备;向合法的应用程序中注入恶意代码;订阅服务、发送短信息;默默下载/安装有风险的应用程序

  这些恶意的应用程序通过应用程序商城、论坛、下载网站和流行的社交网络等途径进行分发,寻找潜在的感染目标。

  感染向量

  分析发现,恶意软件将其主要的有效载荷隐藏在应用程序资源里的一个虚假的.tiff图像中,有效载荷通过一些辅助的Web服务器下载其他恶意组件。除此之外,恶意软件还采取了一些技术手段逃过检测,确保文件不会被精明的用户或防病毒程序删除掉,同时恶意软件也试图取代debuggerd,以此确保不受防病毒软件的影响甚至在系统重置后仍能继续存活。

  Root被感染设备的工作流程

  恶意软件会解密并动态加载隐藏的有效载荷(被标识为Android.Reputation.1)。

  恶意软件开始尝试root被感染的设备时,可能会遭遇失败,这时候它会多次尝试,直至成功。下图展示了一个恶意软件下载rootkit的代码示例:

  恶意软件注入机制

  获得root权限后,恶意软件会选择一个合适的进程(如系统进程或app-store进程)执行恶意代码的注入。

  注入的代码会启动一个UNIX域服务器套接字,触发监听命令,现在恶意的客户端实体(设备上的应用程序)就可以命令受感染的进程,并以该进程的名义进行恶意活动,例如发送一些诱饵消息。

  其他功能

  该恶意软件还会默默地下载并安装一个已知的恶意应用程序(名为ister59.apk,被标识为Android.Reputation.3)。

  恶意软件还可以在未经用户同意的情况下下载并动态加载来自其他URL的其他有效载荷。

  此外,还支持订阅服务和短信发送,通过广告推送的形式传播其他恶意应用程序。

  受影响的平台版本

  所有AndroidAPIlevel8(2.2)及更大的设备都会受到影响。

  即使某些平台版本较高的设备不能被root,恶意软件仍会发送短消息。在这种情况下,恶意软件只能借此进行欺诈活动。

  值得一提的是,恶意程序的代码是高度模块化的,这意味着它可以很容易地重新打包成任何其他受欢迎的应用程序。

  此外,恶意软件使用了一个私人开发的加壳器,对恶意代码进行了混淆并加密了关键字符串,目的是绕过一些基本的静态分析和检测。

  安全建议

  为保护您的设备安全,建议您遵守以下安全最佳实践:

  及时更新你的软件;不要从陌生站点下载应用程序;只从可信来源安装应用程序;密切关注应用程序请求的权限;安装一个合适的移动安全应用程序,以保护您的设备和数据;经常对重要数据进行备份。

  【来源:阿里聚安全】

共 1 个关于赛门铁克分析报告:大量伪装成色情APP的安卓恶意软件瞄准中国用户的回复 最后回复于 2017-12-2 17:51

评论

直达楼层

tan7177 LV15.大将 发表于 2017-12-2 17:51 | 显示全部楼层 | 私信
谢谢分享!!!{:14_363:}{:14_363:}{:14_363:}
来自360手机 N4S骁龙版(360社区3.3.6版)
您需要登录后才可以回帖 登录 | 注册

本版积分规则

ever非你不爱 版主

粉丝:13 关注:0 积分:7722

精华:0 金币:270 经验:4135

最后登录时间:2024-3-3

安全卫士10周年纪念 360粉丝达人勋章 360商城青铜会员

私信 加好友

最新活动

360云台摄像机9Pro写评论送大奖!

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表