【Android病毒分析报告】 - ZooTiger “集恶意推广、隐私窃取、恶意吸费于一体”

最新推荐文章于 2023-04-05 18:46:24 发布
最新推荐文章于 2023-04-05 18:46:24 发布
阅读量6.8k 收藏 2
点赞数 5
文章标签: Android病毒 Android安全 Zootiger
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/androidsecurity/article/details/11772379
版权

本文章由Jack_Jia编写,转载请注明出处。  
文章链接:http://blog.csdn.net/jiazhijun/article/details/11772379

作者:Jack_Jia    邮箱: 309zhijun@163.com


    近期百度安全实验室发现一款ZooTiger新病毒,该病毒集吸费、隐私窃取、恶意推广功能与一身,该病毒目前已感染大批第三方应用市场内的“功夫熊猫3”、“小猪爱打架”等大批流行游戏。该病毒集多种恶意行为于一身,堪称Android病毒的“功夫熊猫”。

    目前该病毒样本在各市场已有10万以上的下载量,以下是某第三方市场样本截图:


 


    该病毒启动后,后台偷偷访问远端服务器获取指令,并根据服务器端指令完成以下恶意行为:

    恶意推广方面:

       1、后台自动下载应用提示安装。

       2、插入广告短信到您的短信收件箱。

       3、打开指定的应用。

       4、打开浏览器访问指定网页。

    隐私窃取方面:

       1、上传您的联系人信息到服务器。

    恶意吸费方面: 

      1、后台私自发送短信订阅付费服务。

      2、通过WAP订阅扣费服务并自动完成扣费流程。

    目前该病毒的远端指令服务器有以下几个,客户端随机选择指令服务器获取指令:

       http://sdk.gmdrm.com/sdk/{ actiontype}

       http://sdk.meply.net/sdk/{ actiontype}

       http://sdk.lvply.com/sdk/{ actiontype}

       http://sdk.plygm.com/sdk/{ actiontype}

       http://sdk.ilvgm.com/sdk/{ actiontype}


   下面对该病毒样本进行简单分析:

       样本MD5 :a783fbcfc82db8912475f11184b27a59

       应用包名:com.play.kfpanda


  恶意代码结构树:

          (披了一层貌似SDK的外衣)

        


1、首先该病毒在AndroidManifest.xml文件注册大量系统频发广播,以便恶意组件能够顺利运行。


 

 

3、当zoo.tiger.sdk.core.StateReceiver接收到开机、网络连接变化等系统广播后启动CoreService和PayService两个关键服务。



4、CoreService服务完成以下恶意行为:

  后台自动下载应用提示安装。



   插入广告短信到您的短信收件箱。



  打开指定的应用,通过浏览器访问指定网页。



   上传您的联系人信息到服务器



5、PayService服务完成以下吸费恶意行为

   通过SMS订阅SP服务、WAP访问扣费服务


Jack_Jia
关注
Androidframework窃取用户隐私病毒分析
腾讯手机管家
11-28 1986
一. 恶意行为 1.病毒启动后申请root权限,hook系统服务进程,影响用户设备正常关机; 2.接收广播,私自进行拍照并上传至服务器等行为; 3.窃取用户短信,联系人,地理等信息并上传; 4.拦截短信并上传至服务器。 二. 流程图   三. 详细分析 1.软件自身dex分析 软件运行后启动服务com.phone.CService,调用hide()方法隐藏图标,  
Android-Droidefense:高级的Android恶意软件分析框架
08-12
通过静态分析,可以快速识别出可能的恶意行为,如隐私数据窃取恶意权限请求等。 2. **动态分析**:除了静态分析,Droidefense还具备动态分析能力,可以在受控环境中(如沙箱)运行应用程序,记录其运行时行为,如...
新型 Android 银行木马“MoqHao”利用社交网络隐藏 C&C 服务器
qq_36606493的博客
10-09 952
作者:启明星辰ADLab 1、概述 启明星辰AdLab近期追踪到一个新出现的 Android 恶意木马样本,该恶意木马主要通过钓鱼 APP 来窃取用户银行及理财 APP 登录凭证,能够通过创建本地代理来窃取 Google 账户登录凭证,且具备远程控制感染机的能力。依据样本关联分析我们发现,该同类型的样本之前被 Mcafee 披露过(其在8月28日将该银行木马命名为:Android/Mo
有关移动SP业务SMS/MMS/WAP的学习考试资料!(短信技术试题)
yoyo8283的专栏
11-17 5715
 短信技术试题一、       选择题:1、 中国移动梦网业务合作伙伴简称为 (A)A、 SP                 B、 CP            C、ICP               D、     ISP         2、 移动梦网短信各网元之间的消息类型和定义,目前采用 (B)A    CMPP2.0         B   CMPP3.0     
Android病毒分析报告】 - BadNews
移动安全研究和Android/iOS/小程序隐私合规
04-28 4268
本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/8863104 作者:Jack_Jia    邮箱: 309zhijun@163.com        前段时间Lookout安全团队发现了一个利用广告网络推送恶意软件的病毒样本BadNews。该广告网络将向感染设备推
Android木马病毒com.schemedroid的分析报告
Fly20141201. 的专栏
08-03 6480
安全公司移动病毒分析报告的面试题目,该病毒样本的代码量比较大,最大的分析障碍是该病毒样本的类名称和类方法名称以及类成员变量的名称被混淆为无法辨认的特殊字符,每个被分析的类中所有的字符串都被加密处理了并且每个类的加密算法还不是一样的,人肉还原出被加密的字符串是很不现实的,该样本大约有100多个类,需要处理的加密字符串的解密高达几千个之多,有兴趣和能拿到样本的同学可以挑战一下自己,暂不提供样本。经...
[译] APT分析报告:07.拉撒路(Lazarus)使用的两款恶意软件分析
杨秀璋的专栏
11-19 5851
这是作者新开的一个专栏,主要翻译国外知名安全厂商的APT报告,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助。前文分享了Rampant Kitten攻击活动,包括Windows信息窃取程序、Android后门和电报网络钓鱼页面。这篇文章将介绍APT组织拉撒路(Lazarus)使用的两款恶意软件,并进行详细分析。个人感觉这篇文章应该是韩国或日本安全人员撰写,整体分析的深度距安全大厂(FireEye、卡巴斯基、360)的APT分析报告还有差距,但文章内容也值得我们学习。
安全防御 --- 恶意代码、防病毒
热门推荐
weixin_62443409的博客
04-05 1万+
硬盘系统分配表扇区(主引导区)、硬盘引导扇区、软盘引导扇区、可执行文件(.exe)、命令文件(.com)、覆盖文件(.ovl)、COMMAND文件、IBMIBO文件、IBMDOS文件。计算机病毒运行染毒的宿主程序,病毒夺取控制权;将病毒程序嵌入感染目标中。
基于权限组合的Android窃取隐私恶意应用检测方法.pdf
09-21
本文主要探讨的是在Android系统中如何检测窃取隐私恶意应用,特别是在面对大量权限组合的情况下,提出了一种基于权限组合的检测方法。Android操作系统因为其开放性,吸引了众多开发者和用户,但也因此成为了恶意...
本文数据:多阶段恶意软件的行为报告
02-12
3. **恶意软件**:恶意软件是指任何设计用于破坏、窃取信息或者对计算机系统造成不期望影响的软件。多阶段恶意软件尤其狡猾,它们通常会分步执行,每一步都可能隐藏在看似无害的行为之后,以此逃避传统的安全软件...
Android-Malware-Analysis:此回购包含Android恶意软件样本和分析
03-25
Android平台上,恶意软件分析是一项至关重要的任务,它涉及到对潜在威胁的理解、识别以及防护策略的制定。"Android-Malware-Analysis"回购提供了一个深入研究Android恶意软件样本的资源库,其中包括了CryCryptor这...
Android病毒分析报告】 - Obad
移动安全研究和Android/iOS/小程序隐私合规
06-08 7289
最近卡巴斯基报出Backdoor.AndroidOS.Obad.a病毒( http://www.securelist.com/en/blog/8106/The_most_sophisticated_Android_Trojan),该病毒利用Android系统未知安全漏洞。        以下是360病毒分析报告: 最近有媒体爆料,最高级的Android木马已经现身,据称“它能利用And
JSP学生学籍管理系统设计与实现(源代码+论文+开题报告+外文翻译+答辩PPT).zip
09-21
1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。 1、资源项目源码均已通过严格测试验证,保证能够正常运行; 2、项目问题、技术讨论,可以给博主私信或留言,博主看到后会第一时间与您进行沟通; 3、本项目比较适合计算机领域相关的毕业设计课题、课程作业等使用,尤其对于人工智能、计算机科学与技术等相关专业,更为适合; 4、下载使用后,可先查看README.md或论文文件(如有),本项目仅用作交流学习参考,请切勿用于商业用途。 5、资源来自互联网采,如有侵权,私聊博主删除。 6、可私信博主看论文后选择购买源代码。
省市区数据,完成三级联动,选择地区
09-21
省市区数据,完成三级联动,选择地区
机械原理课程设计网球自动捡球机.doc
最新发布
09-21
机械原理课程设计网球自动捡球机.doc
基于恶意权限组合的Android隐私窃取应用检测方法
本文主要探讨了一种基于权限组合的Android窃取隐私恶意应用检测方法。在深入分析Android系统的165个权限基础上,作者提炼出30个理论上可以获取Android系统隐私资源的恶意权限组合。这些组合包括对用户个人信息、位置...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值