百度安全实验室

“色情陷阱”病毒分析报告

时间:2017/04/25   作者:朱鹏举

 

一、简介

 
 
  根据相关统计显示,在互联网中约有30%的流量都直接或者间接的与色情相关,而随着移动互联网的发展,病毒作者为了更快的传播病毒,开发了大量的色情相关的移动应用。该类应用通过色情内容诱导用户下载并安装使用,这些应用不但涉嫌传播淫秽色情内容,还可能在后台执行恶意扣费、恶意推广、窃取用户隐私等操作,造成用户隐私泄露或经济损失。 而我们最近发现的一类色情应用,会自动获取root方案,root用户手机,安装应用到系统目录,使用户无法清除相关应用,危害极大。
 
 

二、病毒危害

 
1、该病毒伪装成色情应用,诱导用户进行付费,造成用户财产损失;
2、自动获取root方案,强行root用户设备,获取系统最高权限;
3、安装恶意应用到系统目录下,该应用会继续从服务器下载大量恶意应用,并执行安装,消耗大量用户流量,造成用户资费损失;
4、被安装的恶意应用,伪装成市场上的知名应用,在后台恶意推广,弹出广告等,消耗用户流量,干扰用户正常使用。
 
 

三、详细分析

 
下面我们来看看这款色情病毒的具体情况。
该恶意应用的图标显示如下:
 

image_1

 
使用色情图片作为图标,引诱用户打开应用。
 
打开后的界面如下图:
 

image_2

 
诱导用户进行付费,点击确定后,发送扣费短信。
 
而支付后,显示的界面如下:
 

image_3

 
其实这些都是表象,内容都是一些擦边视频,只是为了欺骗用户。具体后台执行分析如下:
 
在用户打开应用的同时,调用了伪装成UMGameAgents的init方法,获得了下载root模块的链接,解密后为http://mimi.fbhzl.com:518/ic_res_j.png
 

image_4

 
ic_res.png解压到files/hytf目录下的文件如下图:
 

image_5

 
动态加载ic_res.png解压出的libxbmc.so
 

image_6

 
libxbmc.so 主要功能为根据用户手机系统,root用户手机设备,并把HtDaSystemsa.apk 安装到系统目录下。
 

image_7

 
该恶意下载器访问http://mimi.fbhzl.com:518/GetTask.aspx获取任务,下载后加载 asdfqwer.jar 进行安装。
 

image_8

 
自动下载的部分应用如图所示:
 

image_9

 
经过分析,这些应用分为两类,一类为广告类应用,在后台恶意推广,匿名弹窗;
另一类为色情应用,继续诱导用户进行付费,骗取用户钱财。
 
广告类应用,代码结构如下图所示:
 

image_10

 
色情类应用,代码结构如下图所示:
 

image_11

四、病毒追踪

 
我们对病毒使用的域名http://www.fbhzl.com/ 进行了whois查询,因为该域名受到阿里云的隐私保护,无法获得近一步的信息。
 

image_12

 
对病毒样本运行后提示支付所显示的400电话,进行了查询,发现归属于上海雪鲤鱼计算机科技有限公司
 

image_13

 
在该公司的官方网站上,可以看到该电话属于该公司旗下的易接SDK。
 

image_14

 

相关播报

首页 | 百度手机卫士 | 开放平台 | 关于我们

Copyright © 2018 Baidu. All Rights Reserved.

百度公司 版权所有