网络与安全 > 病毒播报 > 正文

“ZM幽灵”病毒分析报告

2018-03-01 12:13:20来源:

近日,百度移动反病毒团队监控到一款静默推送应用的手机病毒。该病毒将恶意代码插入到第三方应用中,在用户未知情的情况下,连接远程服务器获取推广应用信息,然后静默下载恶意扣费游戏,消耗用户手机流量,我们将该病毒家族命名为ZM幽灵。

一、详细分析

第一部分: ZM幽灵家族1、感染应用

该病毒将恶意代码插入到第三方应用中,应用运行后开始启动恶意服务,执行恶意代码,静默下载推广应用。该病毒感染大量正常应用,其中下图所示为“ZM幽灵”病毒家族的恶意应用名称。

▲图[1]恶意应用名称

图[2]为病毒程序下载的推广软件:

▲图[2]安装的推广软件

2、恶意行为

ZM幽灵家族恶意行为主要有以下两点:

• 后台推广应用程序

• 静默下载扣费应用

3、ZM幽灵病毒的下载量

▲图[3]病毒程序的介绍和作者信息

病毒程序在市场中的下载量:

▲图[4]病毒程序的市场下载量

4、恶意代码组件信息

该病毒程序的入口为service 和receiver,后台通过调用服务,启动恶意代码;下图显示为多款病毒程序的入口:

▲图[5]恶意代码组件

5、恶意代码分析

该病毒启动恶意服务后,开始请求服务器数据,同时启动定时器,定时下载推送的应用。

启动定时器 ,每隔10秒启动恶意服务。

▲图[6]启动定时器

请求服务器,下载推广应用:

▲图[7]请求服务器,下载推广应用

解析服务器数据,并将下载的APK保存在SD卡中的指定目录,提示用户进行安装。

▲图[8]解析服务器数据

第二部分:后台下载服务器内容

1、抓包数据

“ZM幽灵“恶意应用运行之后,抓包发现大量下载恶意应用数据。

▲图[9]抓包数据

2、访问服务器地址获取以下信息

1)样本运行之后访问818端口读取配置文件内容

▲图[10] 访问服务器读取配置文件

2)读取配置文件之后下载指定恶意扣费应用

▲图[11]下载链接

3)恶意服务器不同端口访问服务器信息内容

▲图[12]恶意服务器端口对应不同信息列表

4) 通过后台服务器地址58.221.57.115中下载 apksinfo文件。文件是给应用市场反馈的内容邮件内容。我们第一时间拦截市场中要更新的恶意app

▲图[13]apksinfo文件内容

5)通过后台服务器中获取的文件(图[13])中的手机及邮箱信息我们查询了相关的微信及QQ信息如下:

▲图[14] 微信截图

▲图[15] QQ截图

从这些QQ资料中我们发现了开发者为重庆城口人,毕业于重庆文理学院。

第三部分:扣费应用

1、推广下载的大量游戏均属于扣费无提示、或者提示不明显的恶意应用

▲图[16]扣费无明显提示

2、我们对这些恶意扣费的游戏进行了分析,这些恶意应用使用了多种逃逸安全检测的手段,包括随机签名,随机包名,随机类名等,除此之外还使用了代码加壳的手段,下图是加壳后的代码,使用私壳进行保护,逃避安全软件检测。

▲图[17]加私壳后的代码

二、统计

1、“ZM幽灵”恶意样本统计信息

样本量达到:6500+

2、包名统计

根据包名进行统计后发现,包名多以byzm结尾,如图[18]所示,应为同一开发者所为。

▲图[18]病毒程序包名

3、用户统计信息

感染用户数量: 516059

▲图[19] 感染用户季度趋势图

相关阅读

  • 电影花絮
  • 电影情报
  • 圈子新闻
  • 电影新闻
  • 电影搜罗
  • 电视剧
  • 影视演员
推荐阅读