首页
活动
招聘
安全导航

骚年别再撸了— 小心这些少儿不宜的安卓应用

阅读量603738

|

发布时间 : 2015-11-27 10:48:06

https://p0.ssl.qhimg.com/t01346bea20d0a1cca8.jpg

author:SecDarker

统计显示在互联网中约有30%的流量都直接或者间接的与色情相关,这就使得许多恶意软件的作者都会将其作为感染大量用户的首要选择。

在最近的数据挖掘中,我们发现移动端恶意软件使用色情(伪装成色情应用)来引诱受害者从而实施诈骗、获取个人数据,以及通过锁定手机来敲诈赎金的数量在不断的增加。本文中我们将主要针对我们最近发现的两款成人主题的 恶意程序进行分析。


一、 SMS木马

下面我们来看看中国的SMS木马伪装成的色情App。在安装时,该恶意软件会通过显示随机的成人网站来欺骗用户,从而窃取用户信息并通过后台发送短信到预先设定好的号码上。

· Name : 浴室自拍

· URL:  http://yg-file.91wapbang[.]com/apk/appad/14461771841467103.apk?uid=ef2592f22af8c568f2b2993467a1e21a

· Package Name : com.uryioen.lkhgonsd

· Flagged by 6/53 AVs on VirusTotal at the time of analysis.

该恶意软件的图标显示如下:

https://p5.ssl.qhimg.com/t01412e684058192c01.jpg

一旦用户点击了这个图标,用户就会被定向到一个随机的URL。有趣的是,所有的URL都是用base64格式加密的。

Base64 URLs

URL列表:

·  http://www.4493[.]com/star/sifang/(aHR0cDovL3d3dy40NDkzLmNvbS9zdGFyL3NpZmFuZy8=)

· http://m.mnsfz[.]com/h/meihuo/(aHR0cDovL20ubW5zZnouY29tL2gvbWVpaHVvLw==)

· http://m.4493[.]com/gaoqingmeinv/(aHR0cDovL20uNDQ5My5jb20vZ2FvcWluZ21laW52Lw==)

· http://www.mm131[.]com/xinggan/(aHR0cDovL3d3dy5tbTEzMS5jb20veGluZ2dhbi8=)

· http://www.5542[.]cc/xingganmeinv/(aHR0cDovL3d3dy41NTQyLmNjL3hpbmdnYW5tZWludi8=)

· http://www.100mz[.]com/a/xingganmeinv/(aHR0cDovL3d3dy4xMDBtei5jb20vYS94aW5nZ2FubWVpbnYv)

· http://m.xgmtu[.]com/(aHR0cDovL20ueGdtdHUuY29tLw==)

该恶意软件会收集用户在后台的所有设备信息,并将其发送到远程C&C(指挥与控制)服务器,如下所示:

https://p3.ssl.qhimg.com/t01b7dc40db97cb1f89.jpg

C&C服务器发送进一步的指令返回响应如下图所示:

https://p2.ssl.qhimg.com/t01674b0123687ed6a5.png

截图中C&C服务器响应显示了恶意软件通过短信发送到该号码时所接收的内容。下面的代码显示出了该恶意软件如何解析这个响应,并开始发送短信的过程:

https://p1.ssl.qhimg.com/t010cd5b2bff3db5dc3.jpg

https://p0.ssl.qhimg.com/t01bb9256dcd36fb9d3.png

发送消息后, 该恶意软件会发送另一个POST请求通知C&C服务器这一发送SMS的活动。

https://p4.ssl.qhimg.com/t01baf795b0a456015d.png

· C&C 服务器- http[:]//www[.]mscdea[.]com:7981

该恶意软件会以每天一次的频率将短信数据POST到C&C服务器。

https://p1.ssl.qhimg.com/t01010fa6a575c2702e.jpg

https://p5.ssl.qhimg.com/t01340d2571bfed562a.jpg

最后你的手机就会收到各种额外的付费信息。


二、伪装勒索窃取个人信息

该恶意软件会通过向用户显示”儿童色情警告”画面来对某些用户进行恐吓威胁(经常看小电影的大叔),并窃取用户在后台的个人数据,发送到C&C服务器上。

· URL: http://maturefuckporn[.]info/download/kyvcuwc/diper/video.apk (down as of now)

· App Name :  video

· Package Name : com.gi.to

· Flagged by 12/53 AV vendors on VirusTotal.

安装了该恶意软件后,屏幕上会出现一个播放器的图标。

https://p4.ssl.qhimg.com/t0153b3407fe030c011.jpg

一旦用户点击该图标,该恶意软件就会显示如下图的警告页面(该页面伪装成了与经典的FBI/警察勒索页不同的工业控制系统-网络应急响应小组(ICS-CERT)的警告页面):

https://p1.ssl.qhimg.com/t0160551d02867f6137.jpg

在该软件中我们并没有发现与锁定设备相关的代码(恶意应用程序如果没有要求管理员权限去锁定设备的话很容易清除的)。

该恶意软件会窃取用户的电子邮箱的收件箱内容、联系人、电子邮箱等内容将其转发到后台的远程C&C服务器。

https://p5.ssl.qhimg.com/t0193449b587ae42ff3.jpg

上面的截图显示了C&C的URI结构代码,文件中包含被盗的数据被发送到远程C&C服务器。如下图所示:

https://p0.ssl.qhimg.com/t0104f9d0fd44f2179a.jpg

被盗的SMS消息被发送到C&C服务器的一个文件中。

https://p5.ssl.qhimg.com/t012fa423f6cc4a23f9.jpg

被盗的联系人和电子邮件地址被发送到C&C服务器的一个文件中。

https://p5.ssl.qhimg.com/t01973c58eff2565564.jpg

C&C server – http[:]//maturefucklist[.]com


三、总结

目前越来越多的安卓恶意软件利用色情成人主题来引诱受害者,想要要避免此类危害,那么你需要将设置中的“未知源”选项勾选去掉,并始终选择来自可信任的应用商店的应用程序。当然,最重要的还是要能够去分辨这些色情应用背后的真相,不要觉得点开就能撸哦—。—(严肃脸)

本文转载自: 黑暗行者

如若转载,请注明出处: http://mp.weixin.qq.com/s?__biz=MzA4NTU5Mzk0Mw==&mid=401820819&idx=1&sn=c350912ce234617c48819d1bb849f3ff#rd

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
SecDarker
分享到:微信

发表评论

SecDarker

这个人太懒了,签名都懒得写一个

  • 文章
  • 4
  • 粉丝
  • 0

TA的文章

相关文章

热门推荐

文章目录
安全客
商务合作
内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66