AdDevice木马分析报告

AdDevice木马分析报告

作者:Binroo,王欢,张佳杰

我们知道,如果软件需要激活设备管理器,需要用户的确认。但近期360互联网安全中心截获了一批木马,该木马软件通过精巧的设计,伪装成Android的升级通知,提示将系统升级到最新的Android 4.4系统,强迫用户只能点击“确定”按钮升级系统。但用户事实上点击的却是激活设备管理器。而此时,木马就获得了防止卸载的能力,达到强行驻留用户手机上的目的,剥夺了用户对手机的控制权。360互联网安全中心提醒网民,请通过360手机助手等正规应用市场下载应用。目前360已全面查杀该木马。

 

查杀截图:

1

 

一、木马实现原理图:

 两张图

使用一个假的界面放在激活设备管理器对话框的上面。

 

二、具体分析如下:

1)、流氓行为:

检测设备管理器是否被激活。激活了则启动程序正常功能,未激活则弹出激活设备管理器界面,同时启动恶意服务DService。

image3

恶意服务调用popView,以提示用户升级系统为理由,绘制出一个虚假的的界面,覆盖了真实在激活界面。

A)、该应用正常的激活设备管理器的界面应该如下,对用户来讲有选择不激活的权力:

激活

B)、然而当调用完popView后,会在“激活设备管理器”对话框的上面绘制出一个假的提示页面,相关代码如下:

image5

该虚假界面如下:

通知

当该界面覆盖在设备管理器上面时,用户只能点击确定(取消按钮、返回键、主页键均无效)。实际是点击了确定下面的按钮,即激活设备管理器中的激活按钮,从而该应用顺利的激活设备管理器。

C)、最后该应用会调用delView将该虚假页面删掉,达到点击确定,退出页面的效果。

2)、恶意行为:

A)、获取用户短息,IMEI,IMSI等用户敏感信息,上传到黑客服务器

image7      image8

B)、从远程获取拦截规则,自动回复远程指定的短信,并且把收件箱的短信转发到黑客手机号码上。

image9

该应用获取远程的过滤规则

 image10

当手机接收短信时,木马会过滤远程指定电话号码的短信

 image11

image12

image13

自动回复远程指定的短信并且把收件箱的短信转发到黑客手机号码上。

解决方案

1、  通过手机360卫士直接查杀。

2、  使用数据线将手机与电脑连接起来,然后在电脑上下载并安装360系统急救箱,使用其中的“手机木马专杀”功能查杀病毒。

同时,我们强烈建议用户从正规渠道购买手机,安装360手机卫士保护手机安全。如遇到病毒反复查杀、手机中静默安装软件等异常现象,请及时向我们反馈。

发表评论

电子邮件地址不会被公开。 必填项已用*标注