近期发现一款名为AVPasser的新型手机病毒,能够避开安全软件检测并窃取用户隐私。该病毒通过获取超级用户权限篡改安全软件数据库,伪装为常用应用进行传播。
本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.youkuaiyun.com/jiazhijun/article/details/18816557
作者:Jack_Jia 邮箱: 309zhijun@163.com
近期百度安全实验室发现了一款可以避过手机安全软件查杀的新型手机病毒,AVPasser。该病毒会窃取用户的照片,短信,联系人和通话记录,并且在您不知情的情况下对您的通话进行录音,使用前置摄像头偷拍用户,并上传至远程服务器,对用户的隐私造成极大的威胁。该病毒的最大亮点是它会向用户请求超级用户权限,在获得后篡改多家手机安全软件的数据库文件,从而躲避安全软件的检测和监控。
该病毒会伪装成QQ ,系统更新程序或者手机安全软件等正常应用,在安装后会显示多个图标,如图一:
图一:安装后 图二:运行后
任意点击其中一个图标,都会启动该病毒的恶意代码,然后转至后台执行,并隐藏应用图标。
现在让我们看一看这个病毒程序的内容
注册的恶意Android组件:
恶意代码树结构:
通过逆向分析,我们可以得到如下的恶意组件交互图:
隐私窃取的行为不是我们今天分析的重点,今天主要介绍恶意软件如何通过修改安全软件数据逃避检测和监控。从代码可以看出,恶意软件作者对国内的流行安全软件做了逐一针对性的研究。
判断是否安全如下安全软件,如果安装则调用相应安全软件的躲避检测模块,逃避查杀:
篡改腾讯手机管家数据库的部分恶意代码
篡改LBE手机安全大师数据库的部分恶意代码
篡改金山手机毒霸数据库的部分恶意代码
篡改网秦安全数据库的部分恶意代码
篡改瑞星手机安全软件数据库的部分恶意代码
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
