手机病毒“main-plugin-a”分析报告

缘分天注定

1. 病毒基本情况
病毒伪装成游戏应用，诱导用户下载安装。点击运行后闪退，没有运行界面。
运行后该病毒会私自获取root权限，并后台下载安装未知应用，监听未接信息，接收黑客发出的短信指令，根据指令发送扣费短信、拨打指定电话，给用户带来严重的资费消耗问题。
2. 动态分析
安装截图：



运行后闪退，无正常界面：



3. 代码分析
恶意代码结构：



样本不完整，AM文件缺失。
恶意代码分析：
获取用户设备信息DeviceID、MacAddress等：



读取assets中的文件：



将memnut、busybox等控制文件写入系统，并提权：



通过memnut命令私自安装未知应用certapp.apk、ETransportConf.apk并提权：



监听短信消息：



获取未接短信中的信息：



filterSmsSPV函数处理收到的短信命令：



根据短信命令调用sendSms函数私发短信：



获取用户收件箱信息，获取需要删除的扣费回执信息ID：



监听手机通话状态：



私自拨打电话：



调用endcall函数挂断电话：



调用deletelog函数删除通话记录：



4. 瑞星手机安全助手查杀



5. 安全建议
i. 恶意样本通常最爱伪装成各类小游戏诱骗用户下载，因此不建议用户安装非正规渠道下载的游戏类应用。
ii. 遇到不能正常打开和运行的应用应该提高警惕，并立即卸载。
iii. 建议用户安装专业的手机安全软件，没有手机安全软件的用户可以使用永久免费的瑞星手机安全助手（下 载地址 h t t p://pc.rising.c o m.cn/Android/），养成良好的使用习惯，定期为手机扫描体检，远离病毒威胁。
作者：Scarlett