影子实验室在日常测试中发现一款名为“冠状病毒”的应用。“冠状病毒”的翻译是冠状病毒的意思。威胁行为者可以通过使用与武汉冠状病毒相关的名称命名应用程序来引起用户的注意,从而增加病毒传播感染的机会。从冠状病毒的行为来看,该恶意软件是一种木马病毒,具有更细致的窃取用户信息的功能,可以周期性地从服务器更新和加载恶意代码。此外,该病毒还具有利用Teamviewer远程控制Android设备的功能。图1.1应用图标的加载方式Coronavirus通过两次动态加载恶意代码完成恶意行为的执行:(1)通过解析Asset目录下的json文件加载恶意代码第一阶段加载payload:requesttoenableaccess性服务(可以自动进行各种UI交互,模拟用户点击屏幕上的项目)监听和处理用户点击事件,以下行为是通过这个服务的配合完成的。图2-1遍历节点从服务器下载恶意代码并配置参数设置(作为第二阶段恶意代码动态调用的参数传入)图2-2第二阶段加载恶意代码的参数配置使用Teamviewer实现对Android设备的远程控制。图2-3远程控制Android设备(2)从服务器动态获取恶意代码动态加载调用,服务器地址:http://k**ll.ug/。第二阶段加载payload:图2-4从服务器获取恶意代码(3)分析第一阶段配置的参数信息(命令),进行窃取用户隐私信息、发送短信、呼叫转移等操作,并将盗取的隐私信息上传至服务器:http://k**ll.ug/。表2-1指令表冠状病毒自我保护手段(1)通过加密字符串和无用函数调用,增加研究人员逆向分析的难度。(2)将自己加入白名单,使进程保持存活,防止进程被系统杀死。图3-1将应用程序加入白名单,保持进程存活(3)隐藏图标,用户无法通过正常方式卸载应用程序。当用户通过进入应用详情界面卸载应用时,打开应用列表界面会阻止用户进入应用详情界面。图3-2阻止用户卸载应用程序(4)绕过googleGMS认证。图3-3绕过谷歌GMS认证总结Coronavirus通过“coronavirus”的安装名称和图标吸引用户安装使用,对用户的隐私信息造成极大的安全隐患。由于武汉冠状病毒事件仍处于热点阶段,不少不法分子会利用这一热点事件制作恶意软件、发送恶意邮件或短信,以侵犯用户的隐私信息和财产为目的。用户应加倍警惕。在避免冠状病毒对身心健康造成损害的同时,谨防此类恶意软件对其隐私和财产造成损害。安全建议由于该恶意软件具有自我保护功能,因此用户无法通过正常方式将其卸载。可以通过以下方式卸载。手机连接电脑,在控制端输入命令:adbshellpmuninstall包名。进入手机/data/data目录或/data/app目录,卸载文件名中有应用包名的文件夹,应用将无法使用。安装能有效识别已知病毒的杀毒软件。坚持从正规应用商店或官方网站下载软件,从论坛等非正规网站下载软件时要谨慎。
