一个隐藏图标的App

样本MD5:13692976a3765df697fbb37715f5220a

图标:icon

应用名:Settings IS

来源:AVAST热点,链接:http://blog.avast.com/2015/04/24/porn-clicker-app-slipped-into-google-play-imitating-popular-dubsmash-app/(目前已无法访问)

特点:google play样本(目前已下架),安装量100,000 – 500,000

由于Avast的文章已无法访问,下面简单描述下样本主要行为:

  • 云端可配制,开启获关闭App的主要功能,方式为访问解密后的url,如果返回的数据中有“1”则启动应用服务,否则不开启。

1

 

  • 软件主要功能由两个服务组成:MyService、Streaming
  • MyService:每分钟后台执行如下任务获取色情连接列表并访问,并从:JavaScript代码并自动运行,点出色情网站的中链接。

2

3

 

  • Streaming:每分钟执行任务如下:如果日期或者IP改变,解密URL,提到视频地址,在YouTube App中载入(如果安装了YouTube)

4

 

5

 

总结:

  • 病毒特点:
    • 1、伪装系统应用:System IS及图标。
    • 2、操作隐蔽:点击运行后图标消失,最常用的恶意行为都来自于后台操作(色情链接),用户无法感知。
    • 3、没有明显的危险权限及特别明显的恶意行为(除隐藏图标外)导致难于发现
  • 查杀情况:
    • 病毒引擎已识别出HideIcon的恶意行为,但这种隐藏图标的方式直接报毒,所以转为测试规则,后期引擎规则以此为鉴继续完善,目前该样本已报毒。

6

 

 

此条目发表在安全分类目录,贴了标签。将固定链接加入收藏夹。