伪装成抖音国际版Tiktok的短信蠕虫-安全客

概述：

近期安全员监测到一款仿冒Tiktok的短信蠕虫，该短信蠕虫最明显的特点就是针对Android系统版本高于6.0以上的设备，由于Android版本的更新迭代，现在大部分设备已经更新到较高的版本，通过不完全统计，Android系统版本6.0以上的设备已经超过了80%，这也促使恶意程序要适配更高版本的设备，因此该仿冒Tiktok的短信蠕虫如果传播开，可以覆盖更大面积的设备。

1．样本运行流程

应用首次运行检测并申请大量敏感权限，如果未能授予权限，则重复申请，直至申请敏感权限成功，进而开启恶意服务器获取通讯录联系人，并遍历联系人发送指定短信内容，短信包容包含该类恶意程序，程序正常进入后，则是通过大量广告谋取利益。

图1 样本运行流程图

2．样本详细信息

2.1 盗版程序详细信息：

程序名称		Tiktok Pro
程序包名		com.benstokes.pathakschook
程序MD5		B028D2A6FA96FB493991700F5B0410D3
签名信息		C=debugging
签名MD5		C13F92D0397DA7423A4142BFA9A5873E
图标

2.2 正版程序详细信息：

程序名称		TikTok
程序包名		com.ss.android.ugc.trill
程序MD5		78ACEACF4BB02D19174A2801F32257EC
签名信息		CN=Micro Cao, OU=ByteDance, O=ByteDance, L=Beijing, ST=Beijing, C=CN
签名MD5		AEA615AB910015038F73C47E45D21466
图标

3．技术原理分析

程序启动后首先判断通讯录、短信、定位等敏感权限是否打开，未打开则一一动态申请，权限开启后，程序启动恶意服务，后台私自获取用户通讯录联系人，接着遍历所有联系人并发送指定的短信内容，短信内容即为提醒用户更新最新版Tiktok，并附有链接，实则下载该恶意程序，程序主要通过广告盈利，即通过该恶意蠕虫，一传十，十传百，从而让更多人的手机成为肉鸡，来浏览设定好的广告并谋取利益。

3.1 程序启动初始化

程序启动判断是否开启敏感权限，如果开启，则启动恶意服务，后台获取通讯录联系人，群发包含该恶意程序的短信。

图2 程序启动初始化

启动时申请的权限：

图3 程序初始化申请的权限

3.2 用户登录仿冒Tiktok

程序虽然设置了登录界面，但是用户输入的账户密码并未上传，这也说明了该程序的最终目的就是通过广告盈利。

图4 通过更真实的界面伪装自己

3.3 获取通讯录群发短信

恶意服务开启后，后台获取去通讯录联系人，遍历通讯录联系人发送指定短信，短信中包含该恶意程序链接。

获取通讯录联系人：

图5 获取通讯录联系人

筛选后将通讯录联系人保存在数组中备用：

遍历通讯录联系人发送指定短信内容：

图6 遍历联系人准备发送短信

解密要发送的短信内容：

图7 发送带有恶意程序链接的传播短信

解密后字符串：

Enjoy Tiktok Videos and also make CreativeVideos again. Now Tiktok is only Available in (Tiktok pro) SoDownload from below.

Link: http://t***.cc/Tiktok pro

图8 待发送短信截图

下载应用详细信息：

程序名称		Tiktok Pro
MD5		EDB563FDCAB0AB0580FDEEFAD6FFF9AD
包名		com.benstokes.pathakschook
所有者		C=debugging
证书MD5		C13F92D0397DA7423A4142BFA9A5873E
图标