Browsed by
月份:2014年5月

APK世界里的“金蝉脱壳”

APK世界里的“金蝉脱壳”

作者:刘星 最近,360手机安全中心截获了一批采用极其猥琐手法的恶意程序。此类恶意程序将正版APK打包到自身资源中,使用和正版相同的图标,在运行时释放并安装正版APK,同时将自身图标隐藏,利用这种手法,金蝉脱壳,迷惑用户,藏身于用户手机。 对此,360安全专家建议您:1、360手机卫士安全防护功能,查杀此类木马;2、从正规市场下载APK。   1、样本金蝉脱壳过程: A、把正版的APK和自身的配置文件打包到自己的ASSETS目录下,以便在后续操作中使用。   图一:恶意样本assets目录结构 B、首先会调用PackageManager中的setComponentEnabledSetting方法把自己的com.sysimg.image2.MainActivity禁用掉,这样自身图标会在系统的launcher(启动器)中消失。   图二:调用系统函数隐藏自身 C、显示出一个短暂的"正在初始化,请稍等..."的进度条对话框来迷惑用户,在对话框显示的这段时间里,建好所需目录,从assets中释放好所需文件(上图中的af.apk),为下一步做准备。   图三:显示对话框迷惑用户 D、启动系统安装程序,安装释放出来的正版程序。   图四:释放并安装原版APK。 至此,所有的前期操作完成,让我们来看看样本执行前后的launcher截图,通过对比发现,两张截图中的图标一样(红框标注),看不出差别,但是他们却是指向不同的APK,左图启动的是恶意样本(启动后隐藏),而右图启动的却是正常程序(被安装APK图标),此时,恶意程序已经金蝉脱壳,藏于后台。     图五:左图为样本的图标,右图为样本安装的原版APK图标。 2、恶意行为: 样本接收用户解锁、APK安装和删除的广播来激发行为: A、