新闻快讯
< >

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”

伪装成流行应用是手机病毒的常见手段,对于那些没有实际功能的病毒,细心的用户可能很快会发现自己安装了仿冒的应用,但是这次病毒使用了新的招数……

近期猎豹安全实验室和安天移动安全团队捕获了一款通过伪装成流行应用进入用户手机的病毒——HideIcon病毒,该病毒为了让自己伪装得更逼真,运行后先隐藏自身图标,后续以应用更新的方式提示用户下载所伪装的正版应用。在用户安装正版应用、放松警惕的同时,实际病毒已经开始在后台悄悄运行。在成功获取用户信任之后,病毒会进行推送各种广告、下载其他恶意插件的行为,长期消耗用户的流量资费,对用户的个人隐私造成严重威胁。

一、感染情况分析

根据猎豹安全实验室提供的数据统计分析, HideIcon病毒在全球感染的地域较为广泛,南亚、东南亚、欧洲、北美洲、南美洲均有分布。感染量Top10的国家依次是印度、印尼、俄罗斯、菲律宾、墨西哥、美国、伊朗、加拿大、马来西亚、泰国,其中南亚及东南亚国家有一半之多,且占据感染量第一、二位。可见南亚及东南亚地区是HideIcon病毒感染的重灾区。

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

此外,根据数据统计可知,在2017.5.1至5.24期间,HideIcon病毒的感染量整体呈现平稳增长趋势,从五月初的140万左右的感染量增长至五月底的150万左右的感染量,尤其是在五月下旬,出现了一次感染量增长的“小高峰”,应当引起一定的警惕。

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

根据猎豹安全实验室捕获的病毒样本统计,目前有包括Pokemon Go,WhatsApp在内的6款流行应用被该款病毒伪装,对应的图标和应用名称如下:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

二、恶意行为分析

2.1 恶意行为流程图

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

2.2 恶意行为详细分析

Step1:上传设备信息,隐藏图标

HideIcon病毒启动后首先上传Android_ID、IMEI、MAC、已安装应用列表等移动设备隐私信息,其目标url为http://vinfo.mplugin.info/veco-service/v2

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

HideIcon病毒上传的加密隐私信息内容如下:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

将上述加密信息解密后信息标签和内容如下,其中包含了安卓版本信息、MAC地址等等。

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

在上传设备隐私信息后,进行隐藏图标的操作:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

Step2:诱导用户安装所伪装的正版应用

首先,HideIcon病毒会在后台开启服务:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

其次,将assets下的正版应用文件(下图展示的为9APPs url)复制到SD卡并且开启一个新线程,并以应用更新的名义不断提示并要求用户安装正版应用。

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

在用户安装正版应用并使用正常的时候,往往会放松警惕,而这时HideIcon病毒却一直在后台运行并陆续进行着各种恶意行为。

Step3:联网获取远程指令,实施远程控制

HideIcon病毒监听到正版应用安装完成后,就开始正式实施恶意行为。其主要手段是通过联网从指定链接中获取远程指令,并根据返回值进行一系列的恶意行为(指定链接:http://vervice.mplugin.info/veco-service/v2)。返回值和对应的恶意行为如下所示:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

获取指令并根据指令进行操作:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

显示广告:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

下载插件:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

之后不断请求安装插件:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

下载的插件和病毒程序本身的行为非常相似,都包含联网获取指令代码,后续执行广告和激活设备管理器等行为。插件伪装成Google Service,内置多种广告sdk:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

激活设备管理器的代码如下所示,是否激活也是通过url返回值控制:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

url返回值中包含一些社交应用包名,打开这些社交软件时会弹出激活设备管理器:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

设备管理器界面显示的信息也是从url返回值中获得的:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

Step4:推送广告

HideIcon病毒会不断查询获取当前的栈顶activity:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

然后判断当前栈顶activity是否属于系统应用或远控指令返回的知名社交应用对象,如果不是则加载广告:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

加载的广告将以悬浮窗或者全屏的形式置顶。

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

三、溯源分析

经分析,该病毒相关的一系列URL对应的ip地址为越南和新加坡。此外根据病毒应用签名及时间,可以猜测作者是越南人,位于河内,姓张。

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

同时,根据签名信息和代码结构,一些关联样本也被找到,其hash如下:

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全

以上样本从2015年4月开始出现,初期的样本主要是伪装为系统应用并展示广告,但是随着时间的推移,该家族的样本也进行了一些技术升级,例如获取设备管理器、引导用户安装正版应用、远程下载插件,同时根据上传信息来投放广告等行为,进一步加大了杀毒软件以及用户对该病毒的判别难度,也足以看出HideIcon病毒有相对较长的传播周期。同时,其相关的ip主要是在越南和新加坡,结合前文的感染国家分布,可以推测该病毒的目标人群主要在东南亚地区。

四、安全建议

针对HideIcon病毒,猎豹安全大师和集成安天AVL移动反病毒引擎的安全产品已经实现全面查杀。猎豹安全实验室和安天移动安全团队提醒您:

1、建议从正规应用市场下载应用,不要从不知名网站、论坛、应用市场等非正规渠道下载应用;

2、培养良好的安全意识,使用猎豹安全大师或集成了安天AVL引擎的安全产品进行病毒检测,以更好识别、抵御恶意应用; 3、当手机中莫名出现弹窗广告等异常情况时,请及时使用安全产品扫描手机并对异常软件进行卸载处理。

附录

真假应用傻傻分不清,HideIcon病毒玩起“隐身计”-E安全