Android敲诈病毒分析

路人甲 2015-03-13 16:40:00

0x00 前言


最近哈勃文件系统捕获一批FBI敲诈病毒及其变种,该类病毒通过色情网址诱导用户下载安装,一旦用户安装运行,病毒会强制置顶自身并显示恐吓信息,对用户进行敲诈勒索。

0x01 传播途径


通过色情网址诱导用户下载安装。

程序安装后的图标:

0x02 恶意行为概述


当访问色情网址时,会诱导用户下载安装该恶意样本。一旦安装,duang~,不幸发现自己中了大招,手机变砖头了。

恶意病毒将强制将自身置顶,无论是按HOME键,还是关机重启,完全不管用,敲诈恐吓信息始终在那里:显示虚假恐吓信息,敲诈用户支付$500金额的MonkeyPak。

病毒的恶意行为:

1. 样本首先会添加设备管理器:


2. 强制将自身置顶:


3. 打开前置摄像头并拍照、获取添加账户的邮箱列表及手机硬件信息:


4. 将第三步获取的信息、相关命令字以及输入的MoneyPak号等信息加密后上传到服务器:


5. 分析样本文件发现,恶意应用的制作者在验证MoneyPak可用时,会将服务器的返回信息中的status项的值置为77并保存在配置文件里,远程控制病毒程序退出:


由以上分析可知,一旦中了该病毒,用户就没有机会进入手机,更无法启动杀软来清除、修复。那这个时候,手机变砖了吗?当然不是。哈勃分析系统发现这个病毒之后,决定第一时间要为用户解决这个难题,用最快的时间来出(jia)专(te)杀(ji)。 用户可以在http://habo.qq.com/Download/FBIVirusKiller下载FBI敲诈病毒专杀工具,按照工具的指引即可快速清除病毒。

使用专杀工具的前提是手机开启了“USB调试”(有人会担心手机没有ROOT怎么办,这里特别强调一下,未ROOT的手机也可以完美解决)。 如果不满足专杀工具的使用条件,可以尝试采用如下步骤手动清除:

1. 关闭手机后,重新启动进入安全模式


主流安卓手机进入安全模式的方式是,按住【电源键】开机,直到屏幕上出现品牌LOGO或运营商画面后,按住【音量减少】键不放。如果进入安全模式成功,锁屏界面的左下角会显示“安全模式”字样。

2. 进入设置-安全-设备管理器,找到病毒程序并取消激活


3. 进入设置-应用或应用程序,找到病毒程序并卸载


4. 重启手机,进入正常模式,发现病毒程序已经被卸载了。

0x03 给用户的安全建议


  1. 广大用户手机一定要安装安全软件,在病毒感染手机前就可以发现其危险,避免安装病毒后给您带来损失。目前腾讯电脑管家、手机管家、哈勃分析系统均能准确识别此类病毒;
  2. 在可靠的安卓市场上下载手机应用,不要安装论坛或朋友转发的手机应用;
  3. 不要下载内容不健康的手机应用,如色情播放器类应用。

评论

A

Anymous 2015-03-13 17:51:42

看来我的手机不是主流安卓手机
用adb清不行吗
还有试没试用otg 键盘发送alt +f4

M

Mr.xt 2015-03-15 20:34:58

请问有这个病毒的源码吗?
我也想试着分析一下学习学习。

路人甲

真正的路人甲.

twitter weibo github wechat

随机分类

安全开发 文章:83 篇
软件安全 文章:17 篇
后门 文章:39 篇
前端安全 文章:29 篇
网络协议 文章:18 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录