金山毒霸杀毒软件论坛,中国知名杀毒软件

 找回密码

    找回密码

QQ登录

只需一步,快速开始

搜索
查看: 3196|回复: 13
[公告]

【安全播报】金山手机卫士成功捕获最新恶意扣费病毒

[复制链接]

该用户从未签到

发表于 2012-8-1 17:47:40 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?

x
本帖最后由 dadadadayuan 于 2012-8-1 17:56 编辑

近日金山移动安全中心捕获到一款扣费病毒:Andriod.Troj.FakeSysApp.a。该病毒伪装成系统应用,在用户不知情的情况下定制运营商业务,并拦截运营商发送的确认短信。金山手机卫士目前已率先全面查杀。
安装金山手机卫士可彻底清除该病毒,请下载最新版金山手机卫士:
快速下载

恶意行为分析如下:
1. 申请以下权限:

2012080101.JPG

2.入口:

    程序注册了多个消息接收器,来实现程序不同的功能,如上传用户信息,定制付费服务,拦截短信等。  


2012080102.JPG

分析:

1. 上传用户信息

     当手机信号改变时,病毒就会把手机上的信息上传到病毒服务器上,这些信息包括IMEI、是否安装QQ安全管家、手机型号、SDK版本。


2012080103.JPG

判断网络连接状态,如果网络已经连接则启动UserService服务。该服务主要检测是否已经上传用户数据到云端,没有上传记录时则上传用户数据到云端,并向sdcard中写入数据,标记已经上传过用户数据。


2012080104a.JPG
      


URL中包含提交的用户数据,包括IMEI、是否安装QQ安全管家、手机型号、SDK版本。

  

2. 定制付费服务 当检测到手机处于屏幕关闭时,则开始实现扣费服务。



2.1切换网络
检测当前网络类型,如果不是cmwap,则调用调用switchToWap重新设置网络


2012080105.JPG
2012080106.JPG

设置APN切换至cmwap网络。


2.2:定购手机阅读业务     
完成订购需要三个步骤:访问病毒服务器获取订购手机阅读业务的链接、访问链接订购手机阅读业务、确认订购。


2012080107.JPG

2.2.1:访问病毒服务器

休眠10s等待APN设置正常,准备上传的信息有:IMEI,运营商代码

2012080108.JPG

构造URL,调用loadStr方法连接服务器,获取订购移动手机阅读业务的链接。URL格式如下:

2012080109.JPG

2.2.2:访问病毒服务器返回链接,订购手机阅读业务

2012080110a.JPG

访问订购手机阅读业务的链接,接收返回结果。

订购不成功时返回结果如下:


2012080112.JPG

当订购成功时,提取返回的channelAddr值,设定URL为channelAddr,访问服务器,确认订购。此后,运营商会向用户发送一条确认定制服务的短信。



3. 短信的拦截

拦截运营商发送的服务定制通知信息,确保扣费成功


2012080113.JPG

注册android.provider.Telephony.SMS_RECEIVED(短信接收)广播的receiver,用于启动短信的拦截。

当接收到android.provider.Telephony.SMS_RECEIVED(收到短信)广播时触发


2012080114.JPG

短信内容包含“点播了”、“手机阅读业务”和“阅读信息”时拦截短信。

2012080115.JPG

移动短信示例。


安装金山手机卫士可彻底清除该病毒,请下载最新版金山手机卫士:

评分

参与人数 1威望 +10 收起 理由
QQ12 + 10 赞一个!

查看全部评分

回复

使用道具 举报

该用户从未签到

发表于 2012-8-1 17:52:58 来自手机 | 显示全部楼层
移动公司应该很喜欢这个病毒呵呵
回复 支持 反对

使用道具 举报

  • TA的每日心情
    开心
    2017-1-8 15:31
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2012-8-1 18:40:33 | 显示全部楼层
    同2L...
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    7 天前
  • 签到天数: 867 天

    [LV.10]以坛为家III

    发表于 2012-8-1 19:31:24 | 显示全部楼层
    支持金山  顶一下
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2012-8-1 19:50:07 | 显示全部楼层
    我求没有黑掉的那部分 呵呵
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2016-1-25 09:10
  • 签到天数: 4 天

    [LV.2]偶尔看看I

    发表于 2012-8-1 23:44:39 | 显示全部楼层
    支持
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2012-8-2 00:05:33 | 显示全部楼层
    捕获了就好
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2012-8-2 09:44:18 | 显示全部楼层
    最讨厌扣费了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2012-8-2 09:48:57 来自手机 | 显示全部楼层
    同意2L
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2019-1-14 13:51
  • 签到天数: 2 天

    [LV.1]初来乍到

    发表于 2012-8-8 08:25:43 | 显示全部楼层
    2楼说的很好~
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2012-8-9 12:49:01 | 显示全部楼层
    支持金山手机卫士
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2012-8-9 12:58:06 | 显示全部楼层
    辛苦了
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2019-8-14 22:15
  • 签到天数: 1565 天

    [LV.Master]伴坛终老

    发表于 2012-8-9 13:50:11 | 显示全部楼层
    支持一下
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2012-8-9 15:06:19 | 显示全部楼层
    建议LZ把地址发出来,D死他丫的
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录

    本版积分规则

    QQ|小黑屋|感谢版主们|爱毒霸社区 ( 京ICP备10005744号

    GMT+8, 2019-10-17 04:08 , Processed in 0.197365 second(s), 30 queries , Xcache On.

    Powered by Discuz! X3.2

    © 2001-2013 Comsenz Inc.

    快速回复 返回顶部 返回列表