伪装成流行的应用程序是手机病毒的常见手段。对于那些没有实际功能的病毒,细心的用户很快就会发现自己正在安装假冒的应用程序,但这次病毒会使用新的技巧..
最近,猎豹安全实验室和Antian移动安全团队捕获了病毒—— HideIcon病毒,该病毒通过将其伪装成一个流行的应用程序进入用户的手机。为了使其更加真实,病毒在运行后会隐藏自己的图标,然后通过应用程序对其进行更新。提示用户下载假正版应用程序的方法。 当用户安装正版应用程序并放松警惕时,实际的病毒已经开始在后台安静地运行。在成功获得用户的信任后,病毒会推送各种广告并下载其他恶意插件,并长时间消耗用户的流量费用,这对用户的个人隐私构成严重威胁。 一,感染情况分析 根据猎豹安全实验室提供的统计分析,HideIcon病毒在世界范围内广泛分布,分布于南亚,东南亚,欧洲,北美和南美洲。排名前10位的国家是印度,印度尼西亚,俄罗斯,菲律宾,墨西哥,美国,伊朗,加拿大,马来西亚和泰国。南亚和东南亚有一半的国家是第一次和第二次感染。可以看出,南亚和东南亚是HideIcon病毒感染最严重的地区。 此外,据统计,在2017.5.1至5.24期间,HideIcon病毒感染量呈稳定增长趋势,从5月初的感染量约为140万,感染量约为150万。 5月底,特别是5月下旬,感染量增加出现“小高峰”,应该引起一些警惕。 根据猎豹安全实验室捕获的病毒样本的统计数据,目前有6种流行的应用程序,包括Pokemon Go和WhatsApp,它们都被病毒伪装。相应的图标和应用程序名称如下: Failure when receiving data from the peer 获取指令并按照说明操作: 显示广告:
下载插件:
在那之后,我一直要求安装插件:
下载的插件和病毒本身的行为非常相似,包括在线获取指令代码,随后执行广告以及激活设备管理器的行为。 该插件假装是一个包含各种内置广告的Google服务:
激活设备管理器的代码如下,激活也由url返回值控制:
url返回值包含一些社交应用程序包名称。当您打开这些社交软件时,将弹出活动设备管理器: 设备管理器界面显示的信息也是从url返回值获得的: 第4步:推送广告 HideIcon病毒将不断查询以获取当前堆栈顶级活动:
然后确定当前堆栈顶级活动是否属于系统应用程序或远程控制指令返回的已知社交应用程序对象,如果不是,则加载广告:
加载的广告将以浮动窗口或全屏显示。
三,可追溯性分析 经过分析,与病毒相关的一系列URL对应的IP地址是越南和新加坡。另外,根据病毒申请的签名和时间,可以猜测作者是越南人,位于河内,姓张。 同时,根据签名信息和代码结构,还找到了一些相关的样本,哈希如下: 上述样本于2015年4月开始出现。初始样本主要伪装成系统应用程序和展示广告,但随着时间的推移,该系列样本也会进行一些技术升级,例如获取设备管理器和指导用户安装。正版应用程序,远程下载插件和基于上传信息的广告,进一步增加了杀毒软件和用户区分病毒的难度,也足以看出HideIcon病毒具有相对较长的传播周期。与此同时,其相关的ip主要是在越南和新加坡,再加上以前感染国家的分布,可以推测该病毒的目标人群主要在东南亚。 #https://www.com/archives/58988.html 四,安全建议 对于HideIcon病毒,Cheetah Security Master的安全产品和集成的Antiy * L移动反病毒引擎已经全面实施。猎豹安全实验室和安提安移动安全团队提醒您: 1.建议从正规应用程序市场下载该应用程序,不要从非官方网站,论坛,应用程序市场和其他非正式渠道下载该应用程序; 2.培养良好的安全感,使用猎豹安全主机或与Antian * L引擎集成的安全产品进行病毒检测,以更好地识别和防御恶意应用程序; 3.当手机弹出广告等异常情况时,请使用安全产品及时扫描手机,卸载异常软件。 附录