百度安全实验室

“ZM幽灵”病毒分析报告

时间:2017/07/24   作者:匿名

 

   近日百度移动反病毒团队监控到一款静默推送应用的手机病毒。该病毒将恶意代码插入到第三方应用中,在用户未知情的情况下,连接远程服务器获取推广应用信息,然后静默下载恶意扣费游戏,消耗用户手机流量,我们将该病毒家族命名为ZM幽灵。
 
 

一、详细分析

 
 

第一部分: ZM幽灵家族

   

1、感染应用

 
   该病毒将恶意代码插入到第三方应用中,应用运行后开始启动恶意服务,执行恶意代码,静默下载推广应用。该病毒感染大量正常应用,其中下图所示为“ZM幽灵”病毒家族的恶意应用名称。

zm-1

图[1]恶意应用名称

 
 
图[2]为病毒程序下载的推广软件:
 

zm-2

图[2]安装的推广软件

 
   

2、恶意行为

 
 ZM幽灵家族恶意行为主要有以下两点:
• 后台推广应用程序
• 静默下载扣费应用
 
   

3、ZM幽灵病毒的下载量

zm-3

图[3]病毒程序的介绍和作者信息

 
病毒程序在市场中的下载量:

zm-4

图[4]病毒程序的市场下载量

 
 
   

4、恶意代码组件信息

 该病毒程序的入口为service 和receiver,后台通过调用服务,启动恶意代码;下图显示为多款病毒程序的入口:
 

zm-5

图[5]恶意代码组件

 
 
   

5、恶意代码分析

 
 该病毒启动恶意服务后,开始请求服务器数据,同时启动定时器,定时下载推送的应用。
 启动定时器 ,每隔10秒启动恶意服务。

zm-7

图[6]启动定时器

 
 请求服务器,下载推广应用:
 

zm-9

图[7]请求服务器,下载推广应用

 
 解析服务器数据,并将下载的APK保存在SD卡中的指定目录,提示用户进行安装。
 

zm-11

图[8]解析服务器数据

 
 
 

第二部分:后台下载服务器内容

 
   

1、抓包数据

“ZM幽灵“恶意应用运行之后,抓包发现大量下载恶意应用数据。
 

zm-12

图[9]抓包数据

 
   

2、访问服务器地址获取以下信息

 
    1)样本运行之后访问818端口读取配置文件内容

zm-13

图[10] 访问服务器读取配置文件

 
    2)读取配置文件之后下载指定恶意扣费应用

zm-14

图[11]下载链接

 
    3)恶意服务器不同端口访问服务器信息内容

zm-15

图[12]恶意服务器端口对应不同信息列表

 
    4) 通过后台服务器地址58.221.57.115中下载 apksinfo文件。文件是给应用市场反馈的内容邮件内容。我们第一时间拦截市场中要更新的恶意app

zm-16

图[13]apksinfo文件内容

 
    5)通过后台服务器中获取的文件(图[13])中的手机及邮箱信息我们查询了相关的微信及QQ信息如下:

zm-17

图[14] 微信截图

 

zm-18

图[15] QQ截图

从这些QQ资料中我们发现了开发者为重庆城口人,毕业于重庆文理学院。
 
 
 

第三部分:扣费应用

 
   1、推广下载的大量游戏均属于扣费无提示、或者提示不明显的恶意应用

zm-19

图[16]扣费无明显提示

 
   2、我们对这些恶意扣费的游戏进行了分析,这些恶意应用使用了多种逃逸安全检测的手段,包括随机签名,随机包名,随机类名等,除此之外还使用了代码加壳的手段,下图是加壳后的代码,使用私壳进行保护,逃避安全软件检测。

zm-20

图[17]加私壳后的代码

 
 

二、统计

 
  1、“ZM幽灵”恶意样本统计信息
 
   样本量达到:6500+
 
 
  2、包名统计
 
   根据包名进行统计后发现,包名多以byzm结尾,如图[18]所示,应为同一开发者所为。

zm-21

图[18]病毒程序包名

 
 
  3、用户统计信息
 
   感染用户数量: 516059
 

zm-23

图[19] 感染用户季度趋势图

相关播报

首页 | 百度手机卫士 | 开放平台 | 关于我们

Copyright © 2018 Baidu. All Rights Reserved.

百度公司 版权所有