本文章由Jack_Jia编写,转载请注明出处。  
文章链接:http://blog.csdn.net/jiazhijun/article/details/11772379

作者:Jack_Jia    邮箱: 309zhijun@163.com

近期百度安全实验室发现一款ZooTiger新病毒,该病毒集吸费、隐私窃取、恶意推广功能与一身,该病毒目前已感染大批第三方应用市场内的“功夫熊猫3”、“小猪爱打架”等大批流行游戏。该病毒集多种恶意行为于一身,堪称Android病毒的“功夫熊猫”。

目前该病毒样本在各市场已有10万以上的下载量,以下是某第三方市场样本截图:

该病毒启动后,后台偷偷访问远端服务器获取指令,并根据服务器端指令完成以下恶意行为:

恶意推广方面:

1、后台自动下载应用提示安装。

2、插入广告短信到您的短信收件箱。

3、打开指定的应用。

4、打开浏览器访问指定网页。

隐私窃取方面:

1、上传您的联系人信息到服务器。

恶意吸费方面:

1、后台私自发送短信订阅付费服务。

2、通过WAP订阅扣费服务并自动完成扣费流程。

目前该病毒的远端指令服务器有以下几个,客户端随机选择指令服务器获取指令:

http://sdk.gmdrm.com/sdk/{ actiontype}

http://sdk.meply.net/sdk/{ actiontype}

http://sdk.lvply.com/sdk/{ actiontype}

http://sdk.plygm.com/sdk/{ actiontype}

http://sdk.ilvgm.com/sdk/{ actiontype}

下面对该病毒样本进行简单分析:

样本MD5 :a783fbcfc82db8912475f11184b27a59

应用包名:com.play.kfpanda

恶意代码结构树:

(披了一层貌似SDK的外衣)

1、首先该病毒在AndroidManifest.xml文件注册大量系统频发广播,以便恶意组件能够顺利运行。

3、当zoo.tiger.sdk.core.StateReceiver接收到开机、网络连接变化等系统广播后启动CoreService和PayService两个关键服务。

4、CoreService服务完成以下恶意行为:

后台自动下载应用提示安装。

插入广告短信到您的短信收件箱。

打开指定的应用,通过浏览器访问指定网页。

上传您的联系人信息到服务器

5、PayService服务完成以下吸费恶意行为

通过SMS订阅SP服务、WAP访问扣费服务

【Android病毒分析报告】 - ZooTiger “集恶意推广、隐私窃取、恶意吸费于一体”的更多相关文章

  1. 【Android病毒分析报告】- 手机支付毒王“银行悍匪”的前世今生

    from://http://blog.csdn.net/androidsecurity/article/details/18984165 2014年1月8日,央视曝光了一款名为“银行悍匪”的手机银行木 ...

  2. 【Android病毒分析报告】 - ZxtdPay 吸费恶魔

    本文章由Jack_Jia编写,转载请注明出处.  文章链接:http://blog.csdn.net/jiazhijun/article/details/11581543 作者:Jack_Jia    ...

  3. [FreeBuff]Trojan.Miner.gbq挖矿病毒分析报告

    Trojan.Miner.gbq挖矿病毒分析报告 https://www.freebuf.com/articles/network/196594.html 竟然还有端口转发... 这哥们.. 江民安全 ...

  4. 一份通过IPC$和lpk.dll感染方式的病毒分析报告

    样本来自52pojie论坛,从事过两年渗透开始学病毒分析后看到IPC$真是再熟悉不过. 1.样本概况 1.1 样本信息 病毒名称:3601.exe MD5值:96043b8dcc7a977b16a28 ...

  5. Virut.ce-感染型病毒分析报告

    1.样本概况 病毒名称 Virus.Win32.Virut.ce MD5 6A500B42FC27CC5546079138370C492F 文件大小 131 KB (134,144 字节) 壳信息 无 ...

  6. 【Windows编程】大量病毒分析报告辅助工具编写

    解决重复劳动 是否在分析单个病毒时很爽,分析N个病毒写报告很机械的情况.. 1)样本下载多个文件,这些文件写报告时要加上这些文件的MD5 2)写报告时明明是17个MD5,实际样本有18个的情况.不知道 ...

  7. Android木马病毒com.schemedroid的分析报告

    某安全公司移动病毒分析报告的面试题目,该病毒样本的代码量比较大,最大的分析障碍是该病毒样本的类名称和类方法名称以及类成员变量的名称被混淆为无法辨认的特殊字符,每个被分析的类中所有的字符串都被加密处理了 ...

  8. Android病毒家族及行为(一)

    1病毒名称:a.remote.GingerMaste中文名:病毒家族:GingerMast病毒类别:远程控制恶意行为:获取root权限,同时连接远端服务器,在其指令控制下静默下载其它恶意软件,给用户手 ...

  9. PE文件附加数据感染之Worm.Win32.Agent.ayd病毒分析

    一.基本信息 样本名称:1q8JRgwDeGMofs.exe 病毒名称:Worm.Win32.Agent.ayd 文件大小:165384 字节 文件MD5:7EF5D0028997CB7DD3484A ...

随机推荐

  1. 安装ArchLinux的参考分区方案

    其实就是从Archwiki上搬运过来的 = =. 分区方案 虽然有一些关于分区方案的通用建议,但没有严格的准则.有许多影响分区方案的因素,例如对灵活性的期望,访问速度,安全性以及可用磁盘空间的硬性限制 ...

  2. 转:修改类不重启tomcat 自动加载项目

    可以修改类不用重启Tomcat加载整个项目(手工启动)     配置reloadable=true(自动重载)     使用Debug模式,前提是仅限于局部修改.(修改类不用重启--热加载) (rel ...

  3. java设计模式--结构型模式--享元模式

    享元模式 概述 运用共享技术有效地支持大量细粒度的对象. 适用性 当都具备下列情况时,使用Flyweight模式: 1.一个应用程序使用了大量的对象. 2.完全由于使用大量的对象,造成很大的存储开销. ...

  4. 【HDU1875】畅通工程再续(MST基础题)

    更改成实形数即可.第一次敲完直接交,CE了一次.晕. #include <iostream> #include <cstring> #include <cstdio> ...

  5. Linux usb子系统(二):USB设备驱动usb-skeleton.c

    usb驱动分为通过usbfs操作设备的用户空间驱动,内核空间的内核驱动.两者不能同时进行,否则容易引发对共享资源访问的问题,死锁!使用了内核驱动,就不能在usbfs里驱动该设备. 下面转载的一篇分析u ...

  6. A星算法

    没有采用二叉堆算法优化, 学习了几天终于搞除了一个demo, 这个列子如果点击按钮生成的方块大小不正确,可以先设置下预设调成相应的大小 只能上下左右走   using UnityEngine; usi ...

  7. SpringMVC(一)——流程框架总体介绍

    SpringMVC属于SpringFrameWork的后续产品,已经融合在Spring Web Flow里面.Spring 框架提供了构建 Web 应用程序的全功能MVC 模块,其功能和Strtus2 ...

  8. C# WebForm 使用NPOI 2 生成简单的word文档(.docx)

    使用NPOI可以方便的实现服务端对Word.Excel的读写.要实现对Word的读写操作,需要引用NPOI.OOXML.dll,应用命名空间XWPF. 本文使用NPOI 2.0实现对Word的基本生成 ...

  9. MVC 界面开发

    1.什么是设计模式 mvc只是其中一种,对某一类具体问题,总结出来的一套最优的解决方案 1.MVC: 1.Model(模型)     View(视图)    Controller(控制器) 的缩写 M ...

  10. Xcode6和Xcode5获取app名字

    1.在Xcode5下,获取程序名字(app name)的方法为: NSDictionary *infoDictionary = [[NSBundle mainBundle] infoDictionar ...