【Android病毒分析报告】 - 新病毒FakeUmg “假面友盟”

本文章由Jack_Jia编写，转载请注明出处。
文章链接：http://blog.csdn.net/jiazhijun/article/details/12658633

作者：Jack_Jia 邮箱： 309zhijun@163.com

近期百度安全实验室发现一款“假面友盟”新病毒，该病毒通过大批量二次打包第三方应用获得快速的传播。安全实验室监控数据表明，受该病毒感染的应用数以万计，且分布于国内不同流行应用商店，累计下载量超过10万余次。该病毒恶意代码伪装成著名的“友盟统计”插件，具有较强的隐蔽性，导致该病毒较难被发现。

该病毒启动后，后台偷偷访问远端服务器获取运行指令，并根据服务器端指令执行如下恶意行为：

1、后台私自发送短信订阅付费服务，并拦截特定号码短信，完成吸费。
2、后台自动化模拟点击访问广告，骗取广告联盟广告推广费，消耗大量数据流量。

目前监控到的该病毒的远端指令服务器有以下几个：

http://118.126.11.136
http://218.240.151.104
http://www.ppa2099.com
http://www.sese365.net
http://www.fafa7891.com

1、首先该病毒通过修改AndroidManifest.xml文件的入口Activity为com.umeng.adutils.SplashActivity，SplashActivity启动恶意代码后，再启动源程序MainActivity。这样就达到了既启动恶意代码，又不破坏原有程序逻辑的目的。

代码树结构

通过伪装成“友盟SDK"到达隐藏目的，逆向分析人员极易忽略此类代码。

2、病毒恶意组件功能及交互图

3、恶意代码片段截图

一、广告模拟点击相关

广告指令服务器端地址：

Http请求服务器获取广告指令，广告指令通过Base64编码，解码后的指令如下：

    二、恶意吸费相关
   
        吸费指令服务器地址：

   

      Http请求获取吸费指令，Base64解码后的吸费指令结构为：

      

      为了掩盖发送短信行为，恶意攻击者通过native stringFromJNI方法调用so发送短信，使用方法名迷惑逆向分析人员。

     
 

     按照短信指令配置拦截特定号码短信：





     

2楼suannai0314昨天 11:11
您的文章已被推荐到CSDN首页，感谢您的分享。
1楼xiaoniuhong昨天 18:59
好厉害的样子！