國內某知名應用市場遭仿冒,EvilPea病毒也玩起O2O,近期, 某社交應用正式推出了LBS+AR天降紅包,用戶需要在指定地理位置開啟攝像頭,就能搶到對應的紅包,這種線上結合線下搶紅包的模式稱為O2O(online to offline)搶紅包。
近兩年O2O火爆整個互聯網圈,各類O2O產品服務層出不窮,比如O2O美甲、O2O剃須、O2O理發,甚至你想洗腳,都有人上門給你服務!
不料,病毒開發者也來蹭O2O的熱點,將線上攻擊與線下攻擊結合,為感染用戶提供“上門服務”……
近期,安天AVL移動安全團隊和小米MIUI捕獲了一類惡意程序EvilPea,該惡意程序圖標和名稱與某知名應用市場完全一致,運行后彈出“程序不完整,需要重新安裝”的提示框。用戶點擊重新安裝后,該惡意程序會在用戶手機上安裝一個真正的應用,以迷惑用戶,自身則隱藏圖標潛伏在手機中,后續進行如下惡意行為:
誘導用戶開啟輔助功能,竊取指定APP的用戶鍵盤操作記錄
竊取用戶短信內容和聯系人信息
頻繁監控用戶地理位置
主動連接指定WiFi
后臺私自進行屏幕截圖并上傳
私自發送、攔截短信
結合其頻繁竊取用戶地理位置和主動連接指定WiFi兩個行為,我們推測該病毒除了潛伏在手機中進行線上的惡意行為之外,極有可能線下通過WiFi攻擊目標手機,竊取用戶隱私,侵犯用戶財產安全。
病毒運行流程圖
病毒行為詳細分析
step1 潛伏到用戶手機
EvilPea惡意程序安裝啟動后會解析assets目錄下tips中的數據,根據用戶手機系統語言分別使用英文或者中文向用戶提示“驗矯程序時發現程序不完整,需要重新安裝,是否進行重新安裝?”(如下圖所示),當用戶點擊“確定”后將assets目錄下的qu.apk復制到手機儲存卡并進行安裝,若用戶選擇“取消”,該病毒則直接隱藏圖標繼續在后臺運行,從而達到潛伏的目的。
tips中的提示數據:
資源文件中的qu.apk:
根據是否有root權限進行提示安裝或靜默安裝:
step2 竊取鍵盤記錄
EvilPea惡意程序通過偽裝成內存清理服務,誘導用戶開啟輔助服務,以便監聽特定應用的鍵盤操作記錄。同時對于彈出的“是否授予root權限”、“是否允許讀取短信”等確認框,自動點擊確認框中的“授權”、“允許”等關鍵字的按鈕,并勾選關鍵字“不再提醒”的復選框。
自動點擊按鈕和勾選復選框的關鍵字:
監聽指定app的鍵盤記錄并保存:
step3 基于Droid Plugin插件機制,利用插件實施惡意行為
一、Droid Plugin簡述
DroidPlugin是Android的一種開源插件機制,它可以在無需安裝、修改的情況下運行APK文件。插件APK可以獨立安裝運行,也可以作為插件運行。該惡意程序使用這種插件機制啟動各個惡意子包,子包間通過協同的方式完成遠控及竊取用戶隱私的行為,這樣可以避免在插件安裝過程中被殺軟檢測的情況,保證自身長期潛伏在感染終端中。
二、加載插件
EvilPea惡意程序將資源文件夾Assets/init/目錄下的插件復制到SD卡/ .plugin/目錄下,然后加載啟動這些插件;其還會通過DES解密資源文件夾Resources/raw/config.txt中的數據得到聯網地址hxxp://1519j010g4.iok.la:8088/dmrcandroid/,該網址是惡意程序所有數據傳輸的通道。
復制插件到指定目錄下:
看文倉www.kanwencang.com網友整理上傳,為您提供最全的知識大全,期待您的分享,轉載請注明出處。
歡迎轉載:http://www.kanwencang.com/bangong/20170214/101594.html
文章列表
留言列表
