警惕:“王者荣耀皮肤”伪装者恶意程序!
1 、概述 2017年6月29日、30日,国家互联网应急中心通报了相册类安卓恶意程序威胁信息,指出该类恶意木马通过短信群发方式进行传播,其除了窃取用户短信和通讯录以外,还对用户手机进行了远程命令控制(其中包括短信群发到感染设备通讯录完成传播和控制感染设备来电去电等功能),不排除后期对感染设备用户及其朋友圈进行诈骗和恶意消费等恶意行为。 鉴于该类恶意木马对用户个人隐私和 移动安全 造成的严重威胁,几维安全对其中一些样本进行了分析,并且发现部分恶意代码是通过伪装成当下流行的“王者荣耀游戏”的皮肤程序,利用各个APP商店、下载网站进行大量传播。 本文将对此类“王者荣耀皮肤”伪装者恶意程序进行详细分析。 2 、恶意木马行为简介 我们所分析的这款恶意木马伪装成“王者荣耀皮肤”应用以吸引用户下载安装(见下图)。运行后,该恶意木马会首先启动设备管理器界面,引导用户激活自己为设备管理员,这样可以避免被轻易卸载。设备管理员权限一旦被激活,该恶意木马便会将窃取到的感染设备安装激活状态、IMEI、机型、系统型号等信息以邮件的方式发送到攻击者指定的163邮箱,提示肉鸡上线。其次,该恶意木马还会每隔2分钟提示、诱导用户设置自己为默认的短信应用,以获取对短信数据库的读写权限。最后,恶意木马会删除图标,隐藏自身。 以上准备工作完成后