暗影实验室在日常检测中发现了一个以“Coronavirus”取名的运用。而“Coronavirus”翻泽出来便是新冠病毒的含意。危害个人行为者根据将运用取名成与武汉市新冠病毒有关的名称有益于博得客户的关心进而提升病毒感柒的概率。
从Coronavirus的手段上看来,该恶意程序归属于木马病毒RNA病毒且具有比较详细的盗取客户信息的作用,可按时从服务器升级载入恶意程序。此外该病毒感染还拥有应用Teamviewer完成远程操作安卓设备的作用。
图1.1 桌面图标
Coronavirus的读取方法
根据2次动态性载入恶意程序的方法来进行故意个人行为的实行:
(1)根据分析破译Asset文件目录下的json文件载入恶意程序
第一阶段载入合理负载:
要求打开可浏览特殊服务(可以自行开展各种各样 UI 互动并仿真模拟客户单击手机屏幕上的新项目)
监视解决客户点击事件,下列一部分个人行为是根据此项服务项目相互配合进行。
图2-1 解析xml连接点
从服务器下载恶意程序并配备基本参数(做为第二阶段恶意程序动态性启用的主要参数传到。)
图2-2 第二阶段载入恶意程序的参数配置
应用Teamviewer完成远程操作安卓设备。
图2-3 远程控制安卓设备
(2)从服务器动态性获得恶意程序动态性载入启用,服务器ip:http://k**ll.ug/。
第二阶段载入合理负载:
图2-4 从服务器获得恶意程序
(3)分析第一阶段配备的基本参数(命令)实行盗取个人信息安全信息内容、发送信息、呼叫转移等实际操作,并将盗取的个人隐私信息内容提交至网络服务器:http://k**ll.ug/。
表2-1 命令目录
Coronavirus防范意识方式
(1)根据数据加密字符串数组,没用调用函数来提升研究者逆向分析难度系数。
(2)将本身添加授权管理对过程开展保活进而避免过程被系统软件杀掉。
图3-1 将运用添加授权管理开展过程保活
(3)隐藏图标,客户没法根据基本方法卸载应用。当客户根据进到运用详尽页面卸载应用时,打开应用目录页面使客户不能进到运用详尽页面。
图3-2 避免客户卸载应用
(4)绕开google GMS验证。
图3-3 绕开google GMS验证
汇总
Coronavirus根据“新冠病毒”安裝名字及其标志吸引住客户安裝应用,对消费者的个人隐私信息内容导致了很大程度的安全风险。因为武汉市新冠病毒事情仍处在网络热点环节,许多犯罪分子会运用该热点话题制做恶意程序、推送故意电子邮件或短消息目地取决于损害个人信息安全信息内容、资产。客户应当提升双向当心,在可免于遭到新冠病毒对身体健康遭到损害的与此同时,严防此类恶意程序对本身个人隐私资产导致危害。
安全性提议
因为恶意程序对本身开展了维护,客户根据一切正常方法没法卸载掉。可采用下列方法卸载掉。
- 将手机连电脑,在操纵端键入指令:adb shell pm uninstall 包名。
- 进到手机上/data/data文件目录或/data/app目录,卸载掉文件夹名称含有该应用包名的文件夹名称,运用将没法应用。
- 安裝好电脑杀毒软件,能高效鉴别已经知道病毒感染。
坚持不懈去靠谱应用商城或官网下载手机软件,慎重从社区论坛或其他不专业的网址下载软件。