本文章由Jack_Jia编写,转载请注明出处。
文章链接: http://blog.csdn.net/jiazhijun/article/details/8863104
文章链接: http://blog.csdn.net/jiazhijun/article/details/8863104
作者:Jack_Jia 邮箱: 309zhijun@163.com
前段时间Lookout安全团队发现了一个利用广告网络推送恶意软件的病毒样本BadNews。该广告网络将向感染设备推送AlaphSMS恶意软件(https://blog.lookout.com/blog/2012/04/11/the-continuing-saga-of-fake-app-toll-fraud/)今天就对该病毒样本进行简单的分析。
一、病毒样本基本信息
Md5:98cfa989d78eb85b86c497ae5ce8ca19
Package:live.photo.savanna
二、病毒代码分析
1、查看AndroidMainfest.xml文件
通过AndroidMainfest.xml文件可以看出,当设备启动或电话状态改变时,该病毒样本代码会运行。
2、代码分析流程
代码树结构如下:
经过对程序进入点的分析,恶意代码工作流程如下:
1、当设备启动后,BootReceiver广播接收器启动AdvService服务组件。
2、
AdvService服务组件完成软件的推送及用户隐私的窃取
。
(1) 窃取用户隐私信息,包含用户电话号码。
(2)软件的推送及自动下载。
三、病毒恶意行为
该病毒窃取用户设备信息并通过自建广告体系,完成对恶意病毒的分发和自动下载,从而逃避恶意软件的查杀。