揭秘仿冒应用的神秘面纱

一、概述

我们生活在移动数据的时代，手机已经伴随着我们生活的方方面面，而手机端应用迅速占据市场，成为人们手机中的掌上玩物，让人爱不释手，可是，在大量应用井喷式的增长过程中，导致市场大量应用堆积，种类繁多，鱼目混杂，这些应用良莠不齐，甚至有些为恶意应用。由于使用人数较多，伴随着越来越多的仿冒应用参杂其中，给用户群体造成损失也是巨大的。

近期安全实验室发现一款仿迅雷图标的应用，该应用利用仿冒迅雷的图标，诱惑用户下载使用，运行后疯狂发送扣费短信，获取用户隐私。

二、恶意程序样本分析

2.1 样本概述

文件结构：

图2-1 样本结构目录

恶意行为描述：

1、该程序是一款仿造迅雷图标的移动应用，该应用程序安装运行后可以使用观看或下载视频等功能。

2、该应用程序运行后，后台获取用户短信信息以及联系人号码信息，私自获取手机号以及IMEI、IMSI等信息，发送到指定url，造成用户这些隐私数据泄露风险。

3、访问指定服务器，获取订购SP信息，在用户不知情或未授权的情况下，私自发送扣费短信，造成用户经济损失。

4、该应用在用户后台私自访问网络加载广告信息，造成用户流量消耗。

2.2 程序启动流程

2.2.1 恶意程序启动流程图

程序启动流程导图，如图2-2

图2-2 恶意程序执行流程

2.2.2 运行界面

程序安装后的桌面图标以及运行后的首界面，如图2-3：

图2-3 程序图标及首界面

2.2.3 恶意程序运行结构代码

1. 病毒启动后检查网络确认是否连接网络，如果没网络，则会提示退出，否则会继续执行，动态注册广播，并监听非home键广播，显示正常界面，如图2-4：

图2-4 联网启动主界面

同时，在用户未知情的情况下，启动恶意程序，如图2-5：

图2-5 加载并启动恶意程序代码

启动线程池，读取本地资源文件，初始化并调用各种插件，执行恶意操作，如图2-6：

图2-6 启动恶意程序线程池

2.3 隐私窃取分析

病毒在用户不知情的情况下私自获取用户短信信息，私自获取手机号以及IMEI、IMSI等信息，并保存到日志中，上传服务器，然后删除具

有隐私窃取属性。

应用启动后，后台获取用户短信信息，如图2-7：

图2-7 获取用短信

获取用户手机号码以及设备硬件等信息，如图2-8，图 2-9：

图2-8 获取用户手机号码

图2-9 获取用户手机设备ID以及位置等信息

同时，监听手机广播获取用户短信信息，并记录保存到日志，上传服务器，并删除短信，如图2-10：

图2-10 获取用户短信记录到日志并删除

根据版本不同上传到不同服务器，解密后得到：

解密之前地址为，如图2-11：

图2-11 解密前的网址

2.4 恶意扣费分析

2.4.1 恶意程序扣费流程

通过以上源码分析，我们梳理出恶意应用程序的扣费流程导图，如图2-12：

图2-12 恶意程序执行扣费原理：

2.4.2 扣费流程源码分析

程序运行后，从服务器获取所需要的信息，在后台执行发送短信操作，

如图2-13：

图2-13 从服务器获取sp号码等信息

后台发送短信执行扣费操作，如图2-14：

图2-14 发送短信

部分SP扣费短信截图，如图2-15：

图2-15 发送短信

该应用程序加载了本地文件yfpay.cf，读取后得到插件yf.apk，并启动恶意程序updateServices服务，如图2-16：

图2-16 启动恶意服务updateServices

在恶意服务中，动态注册广播，时刻监听用户手机短信接收，并用反射调用fy.apk里面的恶意代码实现用户短信截取，如图2-17：

图2-17 调用插件中的恶意程序

yf.apk插件分析：恶意程序调用该插件中的方法，主要实现了

后台静默订购的功能。

运行插件yf.apk中的方法，拦截用户短信，如图2-18：

图2-18 获取短信并实现短信拦截

在恶意插件yf.apk中实现MR校验，即对短信做有效处理，实现订购，

如图2-19：

图2-19 对有效短信做二次回复确认

并后台联网将用户信息上传到服务器，如图2-20：http://******zou.com:8080/******

图2-20 联网上传短信信息

最后消除订购痕迹，如图2-21：

图2-21 删除订购信息

程序中涉及到的本地文件utopay.jar和BDTX140解密后得到插件Plugin2.apk以及本地文件jzfdat解密获得的插件jiepayplugin.apk等均执行了类似操作，故不作源码分析。最后该恶意程序启动该应用中的恶意代码类SS.class类，再次获取用户收件箱短信内容，以确保确认监听到用户手机中的恶意短信并拦截删除，不被用户发现，达到静默扣费的目的，如图2-22：

图2-22 再次获取设备收件箱短信

并对短信进行筛选，实现指定短信删除，如图2-23：

图2-23 筛选包含指定信息的短信

获取最新的短信记录并指定删除，达到静默订购的目的，如图2-24：

图2-24 删除短信

此外，该应用还包含广告插件，在后台加载广告等信息，如图2-25：

图2-25 后台启动广告插件

三、同特征样本统计

通过分析、提取恶意特征，利用实验室的现有数据资源查找到与此仿冒样本拥有共同恶意特征的样本达到1000+个，通过抽样测试，可以确定都为同一类型样本，且大部分为游戏破解类软件和色情类软件，占比分别达到46%和50%，其余类型样本则不足4%，应用类型占比如下图，图 3-1：

图 3-1 抽样样本类别占比

而且我们统计了进入今年来该类型样本出现的时间，发现在寒暑假出现频率较高，统计图表如下。

图 3-2 该类型样本2018年出现时间频次统计

四、总结

1.通过对该样本的分析，我们可以确定该应用为恶意应用；

2.病毒主要行为之一是收集用户隐私数据，如账号窃取，流氓骚扰，这些行为可能是为后期其他恶意操作做准备，也有可能通过信息售卖直接获取利益；

3.该病毒样本中还包含了一些第三方的广告插件，这无疑是该样本又一个获取利益的手段，无论是经济利益还是达到推广的目的。