【Android病毒分析报告】 - Andorid新病毒“UkyadPay”
2013-09-25 07:19
716 查看
本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.csdn.net/jiazhijun/article/details/11935911
作者:Jack_Jia 邮箱: 309zhijun@163.com
近期百度安全实验室发现一款“UkyadPay“新病毒,该病毒目前已感染快播、超级小白点、萝莉保卫战等大批流行应用。该病毒启动后,后台偷偷访问远端服务器获取指令,并根据服务器端指令执行如下恶意行为: 1、后台通过cmwap访问收费视频,并自动完成扣费流程。(该病毒仅针对中国移动用户吸费) 2、后台自动化点击访问daoyoudao和宜搜广告联盟广告,自动下载应用。 诱骗广告平台获取推广费用。 消耗用户大量的数据流量。 从恶意行为中可以看出,恶意软件开发者获利手段有以下两种:SP分成和广告联盟推广分成。
下面对该病毒样本进行简单分析:1、首先该病毒在AndroidManifest.xml文件注册系统频发广播,以便恶意组件能够顺利运行。
2、恶意代码树结构:
3、恶意组件运行机制: 经过对该病毒样本代码的逆向分析,该病毒的运行原理也基本浮出水面,下图为恶意软件注册Android组件及之间调用关系。
以下是关键恶意代码截图: (1)自动化完成点播收费视频。
(2)自动化访问Daoyoudao广告,下载推广应用。
(3)自动化访问“宜搜”广告,并模拟点击。
该病毒为了扣费不引起用户和移动运营商的注意。对每天和每月都有最大扣费次数的限制。达到上限则不再促发扣费逻辑。
文章链接:http://blog.csdn.net/jiazhijun/article/details/11935911
作者:Jack_Jia 邮箱: 309zhijun@163.com
近期百度安全实验室发现一款“UkyadPay“新病毒,该病毒目前已感染快播、超级小白点、萝莉保卫战等大批流行应用。该病毒启动后,后台偷偷访问远端服务器获取指令,并根据服务器端指令执行如下恶意行为: 1、后台通过cmwap访问收费视频,并自动完成扣费流程。(该病毒仅针对中国移动用户吸费) 2、后台自动化点击访问daoyoudao和宜搜广告联盟广告,自动下载应用。 诱骗广告平台获取推广费用。 消耗用户大量的数据流量。 从恶意行为中可以看出,恶意软件开发者获利手段有以下两种:SP分成和广告联盟推广分成。
下面对该病毒样本进行简单分析:1、首先该病毒在AndroidManifest.xml文件注册系统频发广播,以便恶意组件能够顺利运行。
2、恶意代码树结构:
3、恶意组件运行机制: 经过对该病毒样本代码的逆向分析,该病毒的运行原理也基本浮出水面,下图为恶意软件注册Android组件及之间调用关系。
以下是关键恶意代码截图: (1)自动化完成点播收费视频。
(2)自动化访问Daoyoudao广告,下载推广应用。
(3)自动化访问“宜搜”广告,并模拟点击。
该病毒为了扣费不引起用户和移动运营商的注意。对每天和每月都有最大扣费次数的限制。达到上限则不再促发扣费逻辑。
相关文章推荐
- 中病毒后常用的解决方法病毒终极解决方案
- Auto Autorun.inf desktop.ini sxs.exe auto.exe类病毒的手动处理完全技巧
- 病毒的万能查杀方法第1/2页
- 非常不错的封杀网络木马病毒十大绝招第1/2页
- 机器狗病毒清除方法
- 水牛(shuiniu.exe)手工查杀方法不用专杀工具
- 提防网游“盗号”病毒
- 服务器ARP病毒的特征及防护说明
- 简单分析SCVVHSOT.exe病毒
- 对于最近出现的Death.exe病毒及其变种的手工查杀办法不用专杀工具
- 1sass.exe,winnet.sys,2pwsdor.sys,k87wovjoq.sys病毒清除
- U盘病毒vistaAA.exe的手动查杀方法
- diskregerl.exe(Trojan.Agent.cdt)病毒手动查杀
- 系统时间改为2000年 修改系统时间病毒
- 局域网遭遇“ARP”病毒的新变种附临时解决方法
- LCL.VBS 病毒源代码
- 杀MSNS使网络瘫痪的病毒msns专杀工具下载
- EXPLORER.EXE病毒手动解决方法
- Worm.Win32.AutoRun.bqn病毒分析解决