11月13, 2014

通过WAP扣费的木马分析报告

作者:伊汇文

样本概述

近日,360互联网安全中心截获了一个伪装成手电筒应用的恶意木马。该木马具有私自发送短信、恶意扣费、恶意删除su文件、云控更新恶意代码等危险行为。该木马是将正常应用手电筒进行重打包,加入危险代码。 目前,360手机卫士可以全面查杀。

image1

详细分析:

1、发送报活短信: 该木马会监听系统广播,启动私发短信的模块,将用户的手机型号、IMEI的信息发送到指定号码。此外,其中为了增加其隐蔽性,木马作者使用了6个手机号码进行随机发送。

image2

image3

2、删除su文件 该木马还会在开机时删除su文件。这会使得一些需要申请root权限的软件无法完成。

image4

3、修改APN 该木马还会私自修改用户手机的APN设置,将其设置为cmwap,为其扣费操作做准备。

image5

4、通过wap扣费 该木马首先是在so文件中连接10.0.0.172的移动网关,然后在Java代码中利用so文件中发送的广播,在Java端注册广播接收器,进一步连接到指定网址进行扣费操作。

image6

image7

image8

5、私自下载so文件 该木马判断so文件的版本,然后更新本地的so文件,以实现其不断更新的目的。

image9

总结

该类木马是对正常软件进行修改,加入恶意代码后从新二次打包形成的,因此具有极高的隐蔽性。对于该类木马,我们建议用户在下载手机软件时最好到360手机助手等安全可靠的应用市场或者官方网站下载,不要轻易点击未知来源的链接下载安装软件。同时,安装360手机卫士等安全软件对手机进行全面保护。 360手机卫士下载地址:http://shouji.360.cn

本文链接:http://blogs.360.cn/post/wap_pay_trojan.html

-- EOF --

Comments