揭开山寨应用的伪装面具 | ***L Team
post by Lee Sin & Markseven
智能手机的全面普及，已经让我们生活的方方面面都变得越来越便捷化。然而我们在享受“便捷”的同时也遭受着安全问题的困扰。为了增加手机的安全防护能力，各种各样的安全类应用应运而生。在安全软件的“强撸”之下，一些恶意软件瞬时“灰飞烟灭”，而有些恶意软件则在夹缝中寻得一丝存活机会。据了解，某些恶意软件开发者为了逃避杀毒软件的查杀，竟然戴上“正版应用”的伪装面具作恶。即通过在应用程序特定路径下添加恶意代码包，进而使各种二次打包的“山寨应用”成为各类移动恶意软件的主要载体。
近期，安天***L移动安全团队发现了一种恶意扣费木马程序，该木马程序被重打包到Android程序兼容包下，进而进行一系列的恶意扣费操作。据悉，目前已有美颜相机、Google Search、天翼导航等众多知名APP受到波及。
一、 恶意程序流程分析
1.包结构分析
以下以篡改了正版美颜相机的山寨程序为例： 该山寨程序***后的图标如下图所示，与正版的美颜相机图标一样。
运行时界面如下图所示，该山寨程序包含正常美颜相机相关的功能，表面上看与正版应用没有区别。
分析样本的静态结构，该山寨应用与正版应用的区别如下： 1.捆绑恶意包结构到android.support.v4包结构下。 2.将正版程序的入口程序篡改到捆绑包结构。
2.流程分析图
恶意程序运行的整体流程图如下图所示：
3.恶意功能
【资费损耗】 ? 程序运行后会在后台无用户提示的情况下发送注册短信 ? 在后台无用户提示的情况下发送订阅短信 ? 对回执短信进行拦截并自动回复 【隐私泄露】 ? 上传用户手机IMEI、IMSI固件信息 ? 上传用户手机号码 ? 上传用户***的app列表 ? 上传用户发送订购短信的日志信息
二、 恶意代码分析
1.恶意程序的静态包结构
程序运行会加载资源文件“animation.xml”,解密生成子模块程序文件sz.jar。下图为程序的主包程序、资源文件及解密释放的子包程序的包结构。 主部包结构及资源文件：
子模块sz.jar包结构：
2.联网下载核心数据文件
如上述流程图所述，程序加载子模块sz.jar通过startSdk启动新线程来联网下载核心数据文件0.mp3，下载该文件的域名是通过AES解密如下图所示的INSIDE加密字符串来获取的。
解密后的域名集以及网络路径信息如下图所示： （“subindex”字段为网络路径信息，”domain”字段为域名集信息）
程序会随机选取上述域名集当中的一个域名，获取用户手机相关信息（包括IMEI,IMSI,手机号，信息中心号码，手机品牌，sdk版本，wifi的mac地址，网络接入信息等）后以POST方式向远程服务器联网请求下载核心文件0.mp3。
对网络行为的抓包数据进行分析，如下图所示：
如上图所示，服务器返回的数据经过加密处理。 文件下载完成后伪装成音频格式文件(后缀为ogg),并将其保存在/data/data/ com.meitu.meiyancamera/rs目录下，并命名为dida.ogg。通过AES解密dida.ogg文件，可以获取子程序运行时的核心数据，例如：注册短信的号码和短信内容、获取订阅短信的url、短信拦截的关键字串、上传用户隐私的url等。
程序解密的秘钥是一个byte数组： KEYS = new byte[]{50, 96, -46, -34, 58, -61, -56, 78, -120, 42, -125, -95, 82, -63, 115,1};
解密得到的结果信息：
核心数据字段说明：
3.子程序恶意行为分析
该子程序本质上就是一个远程控制功能模块，具备以下功能：
? 发送注册短信、订购短信 ? 拦截短信并自动回复 ? 上传任务日志、固件信息、程序***列表、发送成功短信的数量统计信息等用户隐私
实现以上恶意功能所需要的相关数据都是通过远程控制服务器下载的核心文件解密后获取的。
3.1后台发送注册、订购短信
注册短信： 子包程序sz.jar通过回调方法startSdk来启动线程TraditionBizshield后台无提示发送注册短信，短信内容由“Port”和“cmd”两部分组成 “Port”: “cmd”：#fd#
订购短信： 子包程序sz.jar通过回调方法startSdk，开启线程GameThread订购网游业务。发送短信之前会联网获取发送号码及短信内容，联网的url由”ngurl“（解密”dida.ogg”文件获取）和”jknafjkla/dajfkjldas.mp3”拼接而成。
从上述url联网返回的JSON数据当中获取目标号码(port字段的值)和短信内容(cmd字段的值)后，发送登陆（注册）短信和订阅短信。
3.2拦截短信并自动回复
子程序在运行时还会注册***短信收件箱相关广播，***接收到的短信、彩信，通过判断拦截短信并进行相应的自动回复。
拦截号码为5发送的短信：
拦截特定字符串的短信并自动回复： （1）通过回调方法”smsCheck”，检测收件号码及短信内容。
（2）拦截SP以106开头，内容包含“点播、阅读、支付、感谢、中国移动、尊敬”的短信，并自动回复，短信自动回复的内容从联网下载的核心文件的autosms字段当中获取。
后台自动回复功能代码：
3.3上传用户隐私信息
子程序在发送短信的同时还会获取用户隐私信息，并将隐私信息保存本地文件后上传到远程服务器。 获取IMEI、本机号码，发送成功的短信数量：
获取应用列表信息：
上传记录用户隐私信息的文件：
三、 背景信息
对该样本当中包含的恶意主控手机号码，以及特定SP号码进行了简单的背景信息调查，我们发现：
1.手机号码“”的归属地信息为广东深圳中国移动，猜测可能为恶意作者的手机，用来通过接收短信来收集中毒用户手机号码信息。
2.网上有网友爆料接收到相关号码(5)发送的短信，但目前无法获取该号码的归属信息。
Android兼容库的主要作用是使新版本的Android框架中的最新特性能够兼容之前的Android框架，为不断升级的Android系统提供向下兼容性。
部分杀毒软件为了提高检测效率，会忽略对程序当中使用到的公共库文件的检测。本文提到的此类恶意代码的主要特点就是将自身隐藏在兼容包下，逃避杀毒软件的检测。目前***L Pro已经可以全面查杀该病毒，有效保护您的手机安全。
***L移动安全团队专注于移动互联网安全技术研究及反病毒引擎研发，提供强大的移动安全解决方案。欢迎关注我们的微信公众号***LTeam，我们会定期发布移动安全相关资讯，希望能够对您有所帮助。 转载请注明来源：/?p=2546
扫一扫关注***LTeam微信公众号，获取更多安全资讯：
病毒名:G-Ware/Android.Fakesysui.j[rog,exp,prv]
危险等级:高
描述:该程序伪装系统应用，***无图标，诱导激活设备管理器。后台联网获取推送配置信息推广广告，下载并静默***推广APP，同时还存在恶意刷单行为，私自反复***卸载指定列表应用，影响手机性能，建议立即卸载，避免造成资费损耗。当前位置： >
金牛座的伪装面具是什么
来源：编辑：时间：
&金牛座的伪装面具：老实
&&& 作为一个土象的固定宫星座，言谈确实不是金牛最擅长的沟通方式。很多金牛座在跟人面对面聊天的时候，要么就是慢半拍，跟不上对方的节奏。要么就是干脆跟对方不在一个频道，根本听不懂对方在说什么。加上金牛自己本身谨慎又怕麻烦的个性，为了避免不必要的沟通误会，因此很多金牛座在面对别人滔滔不绝的时候，干脆选择保持沉默。金牛的不善言谈加上他们的好脾气，常常会给人留下一种老实巴交的印象。其实金牛有着犹太商人般的精明。
&&& 金牛虽然临场反应慢，但这并不代表他不善于思考。相反，金牛的思维不但逻辑严谨，而且能够非常专注、不受外界干扰。因此尽管不吭声，但他心里非常清楚自己要什么。而且旁观者清。在别人滔滔不绝的时候，他早已经在一旁把利弊算的清清楚楚。 &（完）
观秀女性网(/)整理文章，欢迎转载^-^
··········如何用一句话形容“心动”？我看到最好的回答是：想戴上最美的面具，又想卸下所有的伪装。 怎么理解这_百度知道为什么需要伪装，面具永远摘不掉_百度知道