“伪万年历” Root Exploit恶意应用分析
2015年10月12日 12:575642 一, 木马介绍 攻击者将木马制作成用户刚需应用,如色情类、生活服务类,或将恶意代码通过二次打包,注入到合法的应用当中,伪装成为合法应用,上传到android市场或某些论坛,诱导用户下载。一旦用户下载运行了此类应用,木马通过云端推送root工具包,以及恶意应用;通过短信提取动态密码,第一时间发送给木马作者,直接造成财产损失、隐私泄露等;木马创建不死服务,后台root设备,成功root后将恶意应用植入系统分区,用户即使恢复出厂设置也无法完全卸载木马。具体执行过程如下图: 被感染应用以及恶意样本数量过千类,以下列出“万年历,清涩笑话,特实惠, 魅力女生动态桌面,开心乐消消-欢乐版,内涵壁纸,开心乐消消,全网充话费,极致腿模,好听音乐,HoloTorch,情趣内涵电台,Accurate Battery,Super Silent,心情天气” 二,样本行为分析 样本存在大量变种,以下对“伪万年历”样本进行行为分析。木马将恶意代码打包入正常应用。启动“伪 万年历”应用后,进入正常的日历界面,而应用的Application 类作为恶意代码入口点。 2...
