03月11, 2019

携带恶意PE文件的壁纸类应用出现在Google Play

近期,360烽火实验室发现Google Play应用商店存在携带恶意PE文件的2个APP。这2个应用目前安装次数都在10,000以上且均属于同一开发者。

image.png

image.png

经过分析,APP包中assets文件夹中都存在名为assets.exe的PE文件,其主要恶意行为:

  • 采用文件夹图标以迷惑用户,使用AutoIt脚本开发;

  • 修改注册表,不显示隐藏文件和已知文件的扩展名,同时建立自启动项;

  • 遍历用户硬盘中的文件,将文件夹隐藏,同时将自身改名为被隐藏的文件夹;

同时,该恶意文件又被感染型病毒感染,会在运行前加载感染型病毒在本机和局域网内进行传播。

该PE文件已经被360及多家杀软识别。目前没有发现Google Play上的应用代码中存在调用该恶意PE文件的代码片段,疑似开发者编译打包的PC机器被感染。

image.png

IOC

包名 MD5
com.wallpapers.ha.FootballWorldCup2018 fe4d1c374e821cba1c002ac078163193 70c8b11c47203cc5590e9f42866be897
com.wallpapers.ha.SpidermanWallpaper c2c6c916825014aaa3572c38dc03206a a5c60c7827fa43238c12837efc016cf0

时间线

  • 2019年3月8日 360烽火实验室监测到Google Play上存在恶意APP情况,并且通知Google。

  • 2019年3月9日 得到Google确认已经下架,并且将这些APP归类为PHA(Potentially Harmful Application)。

  • 2019年3月11日 360烽火实验发布相关报告。

本文链接:http://blogs.360.cn/post/malicious_PE_files_discovered_on_Google Play.html

-- EOF --

Comments