安基网 欢乐生肖 资讯 安全报 查看内容

仿冒“百度、微信”应用的风险提示

2020-1-7 17:30| 投稿: |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 导读:随着移动互联网的快速发展,用户可以“随时、随地、随心”地享受互联网业务带来的便捷,不管是工作、娱乐、生活、购物等方方方面都在使用着各种APP,既省时又省力的为我们提供很多方便.但是,互联网诈骗、虚假 ...

 

导读:随着移动互联网的快速发展,用户可以“随时、随地、随心”地享受互联网业务带来的便捷,不管是工作、娱乐、生活、购物等方方方面都在使用着各种APP,既省时又省力的为我们提供很多方便。但是,互联网诈骗、虚假仿冒、勒索无处、“杀猪盘”等网络安全威胁无处不在,用户在享受APP给大家带来便利之时,也要时刻注意我们的个人隐私、财产是否受到安全威胁。

近期,暗影实验室发现两款程序名称叫“微信”、“百度”的应用程序,研究员深入分析后,发现这两款并不是官方应用,而是伪装微信、百度图标,诱骗用户下载,启动后私自下载其他恶意程序,采用“热补丁”的方式,频繁加载恶意子包,实现模拟点击广告、订阅服务等恶意行为,在此,暗影实验室提醒广大网民,从正规官方渠道下载正版应用,虚假仿冒APP会通过网盘、论坛、QQ群等渠道推广,诱骗用户下载,其中一些仿冒APP会挂有木马程序,安装运行后会对用户的个人信息、财产造成严重的危害,安装图标如下。

 

1. 基本信息:

表1-1样本基本信息

 

2. 仿冒应用分析

(1)仿冒“百度”应用

该应用主要通过从assets目录下加载恶意执行代码,下载安装其它应用。

应用运行界面:

图2。1应用安装界面

代码结构对比:该应用将自己代码主要集成在主类下。

图2。2代码结构对比

清单文件对比:与正版应用相比该应用注册了很多广播。

图2.3清单文件对比

加载执行assets目录下代码,执行完成删除代码文件。

图2.4加载恶意代码

接收网络连接变化广播。下载apk文件。

图2。5下载apk文件

发送安装通知,点击通知即安装apk包。

图2。6安装apk包

安装完成,启动应用。

图2.7启动应用

(2)仿冒“微信”应用

该应用通过不断从服务器获取恶意子包来更新DEX文件,加载其它恶意代码,主要实现模拟点击广告、服务。

加载DEX文件结构。

图3.1 DEX文件结构

应用运行界面如下:应用开始提示检查更新,之后便以请求网络失败为由退出应用并隐藏图标。

图3.2应用运行界面

所有的操作主要集成在以下几个服务中。

图3.3主体服务

从服务器请求获取任务。并保存在本地数据库中。

图3。4请求任务

在本地创建数据库,将从服务器获取的任务信息保存到数据库中。

图3.5将任务信息保存到数据库中

从数据库中获取任务信息。

图3.6从数据库中获取任务信息

模拟点击完成任务。

图3。7模拟点的任务

从服务器获取恶意子包不断更新当前dex文件并加载执行其它恶意代码。

图3.8更新恶意子包

加载其它恶意代码可能会执行窃取用户隐私数据等其它恶意操作,模拟点击订阅付费服务,将会造成用户财产的损失。

 

3.扩展分析

通过暗影实验室的“APP全景态势与案件情报溯源挖掘系统”发现平台上还存在大量的仿冒类恶意程序,如下表所示:

表3-1扩展样本

 

4.安全建议

  • 当应用请求开启设备管理器时,一定要谨慎。该权限的开启可以修改锁屏密码、恢复出厂设置。
  • 手机被锁屏可以通过删除设备中/data/data/包名、/daa/app/包名两个文件夹,然后重启即可解锁。
  • 坚持去正规应用商店下载软件,避免从论坛等下载软件,可以有效的减少该类病毒的侵害。关注”暗影实验室”公众号,获取最新实时移动安全状态,避免给您造成损失和危害。
  • 安装好杀毒软件,能有效的识别已知的病毒。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
快乐赛车官网 王者彩票开户 飞速赛车平台 荣鼎彩开奖 秒速时时彩 安徽快3走势 欢乐生肖 上海时时乐 快乐赛车 欢乐生肖