【Android病毒分析报告】 - ZxtdPay 吸费恶魔
2013-09-13 08:13
288 查看
本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.csdn.net/jiazhijun/article/details/11581543
作者:Jack_Jia 邮箱: 309zhijun@163.com
近期百度安全实验室发现一款“吸费恶魔“新病毒,该病毒目前已感染QQ浏览器、100tv播放器、富豪炸金花等大批流行应用。该病毒启动后,后台偷偷访问远端服务器获取扣费指令,并根据服务器端指令采用不同的扣费方式。目前该病毒的吸费方式有以下几种:
1、 后台私自发送短信订阅付费服务。
2、 通过WAP自动下载收费应用,并自动完成扣费流程。
3、 后台私自拨打收费IVR服务。
另外在对该新病毒的分析过程中还发现,该病毒经常和MMarketPay、UpdtBot、ScrXo或SmsWorker等已知吸费类病毒同时出现在部分样本中,推测该新病毒和这些已知扣费病毒应该出自同一开发者。 一、病毒样本基本信息
样本MD5 :90f4647f01ee3472100121c43f3b09f2
应用包名:com.tencent.mtt
二、病毒代码分析
1、首先该病毒在AndroidManifest.xml文件中注册大量系统频发类广播,以便恶意组件能够顺利运行。
2、恶意代码树结构如下:
代码执行逻辑如下:
1、系统广播(如接收到短信、开启启动、安装删除应用等)触发ZxtdRecver广播接收器执行。 2、ZxtdRecver判断PlatformService服务是否启动,如果未启动且距离上次执行服务时间超过3小时则启动该服务。
3、PlatformService服务启动一个新的线程执行C
4、在新线程C中主要完成以下工作:
注册短信接收器和成功发送短信的PengingIntent接收器
该病毒首先通过修改APN接入点用于WAP扣费,该病毒能够自动解析WAP页面,自动完成整个WAP应用下载支付业务。
该病毒访问服务器获取吸费指令,根据指令的不同,采用不同的吸费方式。
对扣费结果和次数进行统计:
文章链接:http://blog.csdn.net/jiazhijun/article/details/11581543
作者:Jack_Jia 邮箱: 309zhijun@163.com
近期百度安全实验室发现一款“吸费恶魔“新病毒,该病毒目前已感染QQ浏览器、100tv播放器、富豪炸金花等大批流行应用。该病毒启动后,后台偷偷访问远端服务器获取扣费指令,并根据服务器端指令采用不同的扣费方式。目前该病毒的吸费方式有以下几种:
1、 后台私自发送短信订阅付费服务。
2、 通过WAP自动下载收费应用,并自动完成扣费流程。
3、 后台私自拨打收费IVR服务。
另外在对该新病毒的分析过程中还发现,该病毒经常和MMarketPay、UpdtBot、ScrXo或SmsWorker等已知吸费类病毒同时出现在部分样本中,推测该新病毒和这些已知扣费病毒应该出自同一开发者。 一、病毒样本基本信息
样本MD5 :90f4647f01ee3472100121c43f3b09f2
应用包名:com.tencent.mtt
二、病毒代码分析
1、首先该病毒在AndroidManifest.xml文件中注册大量系统频发类广播,以便恶意组件能够顺利运行。
2、恶意代码树结构如下:
代码执行逻辑如下:
1、系统广播(如接收到短信、开启启动、安装删除应用等)触发ZxtdRecver广播接收器执行。 2、ZxtdRecver判断PlatformService服务是否启动,如果未启动且距离上次执行服务时间超过3小时则启动该服务。
3、PlatformService服务启动一个新的线程执行C
4、在新线程C中主要完成以下工作:
注册短信接收器和成功发送短信的PengingIntent接收器
该病毒首先通过修改APN接入点用于WAP扣费,该病毒能够自动解析WAP页面,自动完成整个WAP应用下载支付业务。
该病毒访问服务器获取吸费指令,根据指令的不同,采用不同的吸费方式。
对扣费结果和次数进行统计:
相关文章推荐
- 【Android病毒分析报告】 - ZxtdPay 吸费恶魔
- 【Android病毒分析报告】 - AVPasser 对抗安全软件监控
- 【Android病毒分析报告】 - BadNews
- 【Android病毒分析报告】 - Andorid新病毒“UkyadPay”
- 【Android病毒分析报告】- 手机支付毒王“银行悍匪”的前世今生
- 【Android病毒分析报告】 - Claco
- 【Android病毒分析报告】 - Obad
- 【Android病毒分析报告】 - ZooTiger “集恶意推广、隐私窃取、恶意吸费于一体”
- 【Android病毒分析报告】- 手机支付毒王“银行悍匪”的前世今生
- 【Android病毒分析报告】--FakeInstaller
- 【Android病毒分析报告】 - “支付宝大盗”
- 【Android病毒分析报告】 - 新病毒FakeUmg “假面友盟”
- 【Android病毒分析报告】 - AppPortal “恶意行为云端无限扩展”
- 【Android病毒分析报告】 - CatchSpam
- Android 病毒分析报告与技巧
- 【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行
- 【Android病毒分析报告】 - FakeLookout
- 【Android病毒分析报告】 - Extension
- 【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行
- 【Android病毒分析报告】 - Andorid新病毒“UkyadPay”