伪“违章查询”病毒分析报告

蓝天二号

一、病毒样本基本信息:

该病毒伪装成正常的应用程序潜伏在安卓电子市场中诱导用户下载安装。安装后程序无法正常运行，直接闪退并隐藏自身启动图标，诱导用户激活设备管理器、私自后台发送短信到指定手机号码、遍历用户短信收件箱并窃取用户短信内容、拦截回执短信、通话记录、监听用户拨打电话。手机一旦中毒，用户将面临隐私信息泄露及财产安全等风险。

二、应用所需的敏感权限:


三、代码级恶意行为动静态分析：


拿到该样本后，首先观察该程序整体的目录内容框架结构

然后再看内部代码框架结构



从上图可以看出，整体框架结构做了代码混淆及加密保护措施，分析起来也不是很方便，但病毒体结构还是很清晰的。

接下来我们开始详细的分析一下这个病毒的主要恶意行为，首先我们先将该恶意程序安装到Android系统设备中：



当安装运行时发现，该程序并没有组建任何有效合法的Activity界面，直接就闪退至Home页，然后自动隐藏程序启动图标（右上图），并弹出虚假提示信息“手机版本不兼容无法打开,正在自动卸载....”来告知用户程序自动卸载了，下图为隐藏启动图标的反汇编代码：



当完成上述操作的过程后，病毒开始自动释放自身MainService

然后通过此MainService继续onCreate“MainService4_4和PhoService”来注册实现观察者模式监听


MainService4_4的主要作用是监听系统版本和发送系统广播


从上图代码中可以看出，该病毒只会感染Android4.4及以下的系统设备，还可以看到很多提示信息，这些信息在程序运行时是不会体现的，而是通过发送短信的方式发送给指定的手机号码“1847******* 广东 深圳 移动”


PhoService的主要行为是监听用户的行为操作和发送系统广播以及遍历用户短信收件箱和手机通讯录等



然后通过PhoService创建五个Receiver接收器“BootReceiver、MmsReceiver4_4、NetstateReceiver、SmsReceiver、SmsReceiver4_4”来实现整个系统的监听和拦截功能，监听内容包含通话记录列表


以及用户的短信收件箱列表、短信收件箱的sqlite数据库和用户的来去电录音

孤独信息

还是用手机安全助手保险一些

织画意

瑞星手机安全助手可以试试的，感觉不错。