色播病毒浅析——美玉在外 败絮其中

    长期以来,色播类App屡见不鲜,其背后是巨大的金钱利益,是病毒主要栖息之地。为了保护用户切身利益,腾讯手机管家长期以来对此类病毒进行及时查杀。
    色播类病毒每日感染用户数如下图所示,感染用户数在周末日与假日期间尤为严重。

    为了进行有效的查杀,我们对色情类病毒进行实时的监控。以某约爱色播视频为例,下图所示,晚上8点后会进行爆发,每小时以千为单位,库中总量达80万。

    美玉在外,败絮其中,此类色播病毒常以美女色情图片或者视频来诱导用户安装,不断提示用户安装难以卸载的恶意插件,进行广告的推送,甚至在后台静默下载安装应用和发送扣费短信,给用户造成很大的影响
    色播病毒执行的流程如下图所示:

   
    一、色播类病毒主要行为分析                             
    1.1 通过继承Application来解密Dex,隐藏真正的Dex来躲避查杀

    1.2 解密Dex:
    通过包名中的数字截断来确定需要解密的文件的名称,此时文件名为26a6.fdc
    解密后的Dex名称由:Md5加密(包名+”.Core”)+“.apk”组成
    1.3 通过DexClassLoader加载Dex,读取资源解密释放出文件: