作者:Binroo、王欢
一、 概述
360互联网安全中心近期截获了一批名为“FakeUpdate”的云控扣费恶意软件家族。通过云端服务器下发扣费指令,在用户不知情的情况下发送扣费端短信,造成用户资费损失。另外还会拦截并上传用户短信息到指定服务器上,造成用户隐私泄露。最初是在7月底获取的第一个样本,伪装成google更新程序,因此我们将其命名为“FakeUpdate”家族,后期多伪装成“成人必点”、“爱薇影院”、“哇嘎嘎影院”等含有诱惑名称的视频客户端,诱导用户安装。传播量巨大,目前已有近百万用户中招。 360手机卫士可全面查杀。
二、 原理
恶意行为主要有:
- 通过具有迷惑性的应用名诱惑用户下载并安装。
- 安装后获取用户IMEI、运营商和地理位置等信息上传至黑客服务器。
- 通过服务器下发扣费指令。
- 恶意程序在用户不知情的情况下发送扣费短信,并不时弹出插屏广告。
- 拦截并上传用户短信信息上传到黑客服务器。
- 诱导用户安装恶意子包。
- 子包不仅拦截用户相关短信还会释放恶意推广快捷方式到用户桌面上。
三、 代码分析
1. 主包分析:
1) 添加“游戏世界”快捷方式到桌面,快捷方式关联的网址:http://wap.shouyo.com/index.html 实现应用推荐功能。 将imei号发送到15521322876
获取手机地理位置并启动服务SmsSerVice
2) SmsService启动后,将地理位置(城市名),运营商信息,imei号,提交到远程服务器。 远程地址:http://cynonlighting.com:9123/m/requAction!req.action
解码后:
3)从远程服务器获取内容并发送扣费短信。
4) 获取手机安装应用列表,判断已安装软件中是否包含特定软件,或顶层activity名称是否包含特定关键字,是则弹插屏广告。
5) SmsReciever功能 对接收到的短信内容,判断是否包含“腾讯”、“微信币”等指定关键字,是则自动回复确认短信;判断是否包含“未接来电”、“微信”、“本人有效证件”等指定关键字,如未包含就将该短信上传到远程服务器。
7) 启动WeatherService服务,安装子包,当子包安装成功后,主包负责启动子包。
2. 子包分析:
子包同样具有部分主包的恶意行为,可以弹插屏广告和拦截相关短信,并且子包还会添加大量恶意推广的快捷方式到桌面上。
四、 总结
随着互联网的普及以及4G高速移动互联网的发展,多媒体应用大发展,越来越多的用户利用手机随时随地观看自己想看的视频,黑客正利用此来传播其恶意程序,用户需要提高警惕,特别是碰到非常有诱惑性的应用名称时,建议用户安装正规权威手机安全软件如手机360安全卫士,为您的移动生活保驾护航。
Comments