博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
趋势科技移动客户端病毒报告
阅读量:5882 次
发布时间:2019-06-19

本文共 2008 字,大约阅读时间需要 6 分钟。

2013年6月移动客户端安全威胁概况

本月趋势科技移动客户端病毒码约为116,912条。截止2013.6.30日中国区移动客户端病毒码1.499.00,大小1,1092,475字节,可以检测病毒约69万个。 本月趋势科技新发现移动客户端病毒约8万个。

 

 

趋势科技移动客户端病毒码中排名前十的病毒家族:

 

趋势科技移动客户端6月新增病毒码中排名前十的病毒家族:

 

 

趋势科技移动客户端病毒码中排名前十的广告软件家族:

 

趋势科技移动客户端6月新增病毒码中排名前十的广告软件家族:

 

 

黑客改进了OBAD中的隐藏函数

 

我们曾接触过攻击Android系统漏洞的应用程序,这些程序大多会请求更高的系统权限。最近,一个名字叫ANDROID_OBAD的更加高级的Android恶意程序进入了人们的视线。它与ANDROID_JIFAKE都来源于同一作者,该程序不能被正常卸载,并能够触发更多的恶意代码。

 

新型高级隐藏功能

这一病毒家族具有完整的隐藏和反编译功能。安装后,它会请求root权限并激活管理员功能。因为它能获得root权限,该病毒能完全控制设备并能展开进一步的攻击。

 

如果用户没有按软件要求激活,程序重新启动时会频繁弹出提示框。并且,如果用户点击返回或直接按home键,弹框会重新出现。

 

当用户终于有机会卸载掉它时,由于管理员已经激活,程序会转向隐藏模式继续运行。

图1

此时虽然你能将在程序管理中将该恶意软件识别出来,然而你却没办法卸载它,因为它是一个设备管理程序。

图2

这种反卸载功能也被应用到了在设备管理列表中进行隐藏。

 

图3

从安全研究者的角度看,这是ANDROID_OBAD对抗传统分析工具的方法。

系统能够正确识别AndroidManifest.xml,但主流解码工具却不能正确解析。多数sanbox在加载ANDROID_OBAD时会出错,因为该病毒能够检测sanbox。

新型代码混淆技术

该程序的Dalvik code用了新方法进行混淆。几乎每一个类文件都对应一个不同的加密函数。每一个用到的字符串和函数都必须在程序运行时先被解密。程序的一些部分,如字符串常量,还被加密了多次。目前的反编译工具在跟踪这一执行过程时都会出错。

下面是一个解密函数的代码片段:

 

图4

当我们对代码进行解密后分析,可以发现该病毒有如下行为:

  1. 隐藏launcher,以后台服务的形式用最高权限运行
  2. 自动打开Wi-Fi连接并且连接到远程服务器(http://www.{BLOCKED}ofox.com/load.php)
  3. 收集用户的通讯录,拨号记录,短信,和已安装程序等信息
  4. 下载、安装、卸载其他软件(由于有root权限,这些可以静默进行)
  5. 通过蓝牙向其他手机分发恶意软件

ANDROIDOS_OBAD vs. ANDROIDOS_JIFAKE

ANDROIDOS_OBAD和它之前出现的ANDROIDOS_JIFAKE有相似之处。后者是一个伪装的App安装包,欺骗用户安装并执行后,会注册为服务并连接到远程服务器上等候指令。远程命令包括发送扣费短信和启用反卸载功能。

反卸载(anti-uninstall)功能是利用了Android设备管理的漏洞。如果一个程序被安装并被指定为设备管理程序,它就被授予更多的权限并能够限制设备功能,包括强制执行安全策略、

锁定设备或销毁用户数据,并且不能被正常卸载。

想要卸载这样的设备管理程序,用户需要关闭设置->安全->设备管理中的选项。利用一个未公布的Android漏洞,可以将关闭选项隐藏起来。用户就会被迫将恶意软件注册为设备管理程序并且无法禁用它们。

Trend Micro Mobile Security已经能够检测这类病毒。

 

关于趋势科技

趋势科技股份有限公司(TSE:4704)是全球云端安全的领导厂商,致力于保障企业与消费者数字信息交换环境的安全。趋势科技是业界的技术先驱,在服务器安全领域拥有超过20年的经验领先的整合式资安威胁管理技术能遏阻恶意程序、垃圾邮件、数据外泄以及最新的Web 资安威胁,确保营运作业不中断,保障个人信息与财产的安全。请造访TrendWatch 查询资安威胁详细信息,网址是:www.trendmicro.com/go/trendwatch。本公司弹性化的解决方案有多种型态可供选择,而且还有全球资安威胁情资专家提供24 小时全年无休的支持服务。本公司许多解决方案均以Trend Micro™ Smart Protection Network 为基础,这是涵盖网关外广大空间与客户端的新一代内容安全基础架构,专为协助客户防范Web 资安威胁所设计。趋势科技是总部位于东京的跨国企业,其备受信赖的安全解决方案透过其业务合作伙伴营销全球。请造访www.trendmicro.com。

本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!

你可能感兴趣的文章
php晚了8小时 PHP5中的时间相差8小时的解决办法
查看>>
JS(JavaScript)的初了解7(更新中···)
查看>>
svn文件管理器的使用
查看>>
Ansible playbook 使用
查看>>
for/foreach/linq执行效率测试
查看>>
js /jquery停止事件冒泡和阻止浏览器默认事件
查看>>
长春理工大学第十四届程序设计竞赛(重现赛)I.Fate Grand Order
查看>>
好作品地址
查看>>
[翻译]Protocol Buffer 基础: C++
查看>>
runloop与线程的关系
查看>>
[Bzoj2246]迷宫探险(概率+DP)
查看>>
详解消息队列的设计与使用
查看>>
使用Sqoop从mysql向hdfs或者hive导入数据时出现的一些错误
查看>>
控制子窗口的高度
查看>>
处理 Oracle SQL in 超过1000 的解决方案
查看>>
Alpha线性混合实现半透明效果
查看>>
chkconfig 系统服务管理
查看>>
一个简单的运算表达式解释器例子
查看>>
ORACLE---Unit04: SQL(高级查询)
查看>>
Entity Framework Code First 模式-建立多对多联系
查看>>