正文 

当前位置: 首页 > 开发 > java教程

应用下载需警惕,“猜你妹”病毒潜伏应用市场伺机刷流氓应用

腾讯手机管家 腾讯手机管家     2022-10-24     211

关键词:

概述

        游戏猜的正嗨的时候,突然提示系统存在安全漏洞,吓死本宝宝有没有,在线等要不要修复? 小伙伴遇到此类提示可千万别点,这是在骗你安装恶意程序。

 


        近期,腾讯移动安全实验室和腾讯反诈骗实验室就发现一款名为猜你妹恶意游戏应用潜伏于各大应用市场,在特定的条件下伺机诱骗用户安装恶意程序。

        腾讯移动安全实验室和腾讯反诈骗实验室安全工程师分析发现,该恶意游戏应用通常将自己伪装成个各种猜谜类应用,比如疯狂猜明星、疯狂猜明星2、看图猜歇后语、猜歌TFboys等。


    


        该病毒家族开发的应用特喜欢让用户猜一猜,应用本身的行为反复无常,看上去似乎隔断时间就来作案一次。

(1)开发者更新样本频率快

        在正常版本中掺杂恶意版本,打起“游击战”,企图蒙混应用市场。

        开始安全---转型病毒---恢复安全---继续投毒---恢复安全:

 


(2)病毒的恶意行为触发路径很深,饱含满满的套路

        面对安全厂商的围追堵截,开发者的猥琐智慧就会不停的进化。该病毒样本只有当用户在特定时间玩到特定关卡的时候才会奖励用户一款恶意广告程序。


1、样本行为分析

        恶意样本文件com.*********r6.guess360.apk是一个猜明星的游戏应用,运行界面如下:

 


        为了对抗反病毒软件的检测,该样本的恶意行为的触发需要综合判断多个条件,代码如下:

 


        触发条件:

(1)、this.e == 13,判断当前的关卡数-1是否为13

(2)、!g.b(),根据时间信息判断当前时间是否符合触发条件

 


(3)、判断要安装的应用是否已经安装了

 


 

        在满足触发条件后,样本执行恶意行为,提示用户系统存在安全漏洞,并将assets目录下的应用释放安装。代码如下:

 


        恶意行为截图如下:

 


 

        安装的恶意应用伪装为系统应用,软件名为Android,包名cvoo.wa.a,主要的恶意行为是云端下载root子包,root用户手机,并含恶意广告插件,在手机屏幕上匿名弹窗,推送浮窗广告,严重影响用户使用手机。

(1)、从云端下载root子包,并解密加载,下载链接:http://52.52.***.56/checker

 

 


        root子包dex结构

 


        root子包从云端下载root方案,并执行root操作,root方案下载链接:

        http:\\\\cdn.gam***.org\\strategy\\dev_root2

        http:\\\\cdn.gam***..org\\strategy\\dev_root

        http:\\\\cdn.gam***..org\\strategy\\UnknownDev

 



 

        下载的root方案:

 


 

(2)、恶意应用在手机屏幕上匿名弹窗,推送浮窗广告,严重影响用户使用手机。

 


 

2、样本迭代变化趋势分析

       腾讯移动安全实验室和腾讯安全反诈骗实验室利用自有的安全分析大数据平台,对该恶意样本进行了软件包名、开发者证书、样本hash值和传播渠道等多维度进行分析,发现该恶意样本从2015年3月起就开始在国内的各应用市场上传播,至17年6月,该样本已经从版本1.0.1迭代到1.6.4,每隔几天就会上传新的样本到应用市场,其中样本的恶意版本就混杂其中,借以绕过应用市场对其进行的安全性检测。

        此包名和开发者证书下的应用的相关变化趋势:

 


        其中16年12月,腾讯反诈骗实验室就发现了此样本的一个恶意版本,该恶意版本在运行时从资源文件assets目录下解密加载Root提权子包,上传用户的设备信息到远程服务器,获取相应的Root方案并进行Root提权行为,提权成功后,频繁下载推送应用,对用户正常使用手机造成影响。而近期发现的新的恶意版本则采用了新的作恶方式,已在上节中进行了详细介绍。

 

3、样本影响面和相关的开发者证书MD5

        根据分析,此类样本的软件名主要为:疯狂猜明星、疯狂猜明星2、看图猜歇后语、猜歌TFboys等,在国内几大应用市场都有上架,且下载安装量都达到了数十万次,其中恶意样本的感染用户达到了数万次。


 

4、背景溯源

(1)“猜xx”游戏开发者信息

        此样本主要是在国内各应用市场上传播,通过比较样本在应用市场上的上架信息,可以看出此类应用的开发公司主要是深圳市****科技有限公司,其主要法人为胡某军。

 

 

 

 

 

 


(2)恶意子包相关信息

根据ROOT模块中解密出来的url链接进行了溯源分析,主要URL为:http://cdn.game***.org根据域名注册的联系人进行查询,相关企业信息整理如下:

 

 


 

 

 


        主要产品都是仿冒热门的游戏软件,且都具有流氓广告和恶意推广功能。

 


  

5、安全建议

1)国内各应用市场应完善自身的应用安全性检测机制,定期对应用的安全性进行检查;

2)应用市场应规范对应用开发者的管理,对于恶意应用的开发者应采取一定的管理措施。

(3)手机用户应养成使用腾讯手机管家等安全软件的习惯,对部分手机应用携带的恶意病毒进行查杀,保护手机安全。

 

6、关于腾讯手机管家和腾讯反诈骗实验室

腾讯手机管家是腾讯旗下一款永久免费的手机安全与管理软件。功能包括病毒查杀、骚扰拦截、支付保护、隐私保护、手机防盗等安全防护,此外还支持用户流量监控、垃圾清理、手机加速、手机瘦身、免费WiFi、软件管理、相册管理、来电秀、手机备份、提醒助手等高端智能化功能,不仅是安全专家,更是用户的贴心管家。

腾讯移动安全实验室和腾讯安全反诈骗实验室汇聚国际最顶尖白帽黑客和多位腾讯专家级大数据人才,专注反诈骗技术和安全攻防体系研究。反诈骗实验室拥有全球最大安全云数据库并服务99%中国网民。


应用下载需警惕,“猜你妹”病毒潜伏应用市场伺机刷流氓应用

...和腾讯反诈骗实验室就发现一款名为”猜你妹”恶意游戏应用潜伏于各大应用市场,在特定的条件下伺机诱骗用户安装恶意程序。     据腾讯移动安全实验室和腾讯反诈骗实验室安全工程师分析发现,该恶意游戏应用通常将自己... 查看详情

华为手机遇到解析包错误,该怎么办?

应用程序无法安装或安装失败,建议按以下方法排查:1.检查存储空间是否充足进入设置>存储检查内部剩余存储空间是否大于所需要下载应用的所需内存,如果在安装过程中提示存储内存不足,可尝试清理应用,释放出下载应用... 查看详情

潜伏者

...方都互派间谍,潜入对方内部,伺机行动。历尽艰险后,潜伏于S国的R国间谍小C终于摸清了S国军用密码的编码规则:1.S国军方内部欲发送的原信息经过加密后在网络上发送,原信息的内容与加密后所得的内容均由大写字母&lsquo... 查看详情

安卓手机无法下载软件

如果您使用的是华为手机,在应用市场无法下载软件,可以通过以下方法排查操作:1.检查当前网络是否正常。确认手机管家>流量管理>应用联网>应用市场>移动数据是否勾选(WLAN默认勾选),是否允许应用市场联网。... 查看详情

1071潜伏者

...方都互派间谍,潜入对方内部,伺机行动。历尽艰险后,潜伏于S国的R国间谍小C终于摸清了S国军用密码的编码规则:1.S国军方内部欲发送的原信息经过加密后在网络上发送,原信息的内容与加密后所得的内容均由大写字母&lsquo... 查看详情

讯飞输入法在苹果安卓等应用市场已无法下载

参考技术A讯飞输入法在苹果安卓等应用市场已无法下载讯飞输入法在苹果安卓等应用市场已无法下载,主流手机厂商应用商店发现,讯飞输入法均已不提供下载。当日上午,科大讯飞股价突然崩盘,一度跌停。下午开盘后,股... 查看详情

如何确定使用哪个 android 市场下载我的应用程序

】如何确定使用哪个android市场下载我的应用程序【英文标题】:Howtodeterminewhichandroidmarketwasusedtodownloadmyapp【发布时间】:2015-09-1916:53:12【问题描述】:我计划不仅在GooglePlay上分发我的应用程序,还在其他几个市场上分发,例如O... 查看详情

1-7-11:潜伏者

...方都互派间谍,潜入对方内部,伺机行动。历经艰险后,潜伏于S国的R国间谍小C终于摸清了S国军用密码的编码规则:1、    S国军方内部欲发送的原信息经过加密后在网络上发送,原信息的内容与加密后所的内容均... 查看详情

洛谷p1071潜伏者

P1071潜伏者题目描述R国和S国正陷入战火之中,双方都互派间谍,潜入对方内部,伺机行动。历尽艰险后,潜伏于S国的R国间谍小C终于摸清了S国军用密码的编码规则:1.S国军方内部欲发送的原信息经过加密后在网络上发送,原... 查看详情

xise菜刀千万不要随便下载!(警惕!)

xise菜刀千万不要随便下载!(警惕!)最近小编在众多群里,看到有人善意伪装的提供免费xise下载地址!1:小心后门,小编发现众多免费下载xise的里面都隐藏后门也就是说,只要你使用带后门的xise菜刀,别人就可以获取到你... 查看详情

android系统安装应用程序的几种方法

...方法,请选择:步骤如下:方法一:从SD卡安装确定设置应用程序求知来源已勾选状态。1、在电脑端,下载apk安装包,拷贝到SD卡当中。2、打开资源管理器,找到该apk文件,点击安装。3、根据提示操作安装。另:可预装文件管... 查看详情

华为手机安装应用时提示应用未安装

...未知来源选项开了如果成功解决我所有财富值给你下载的应用程序安装失败请按以下操作进行排查:1、请检查第三方应用程序的格式是否正确,安卓系统的手机仅支持APK格式的第三方应用。2、若应用程序不是从“应用市场”下... 查看详情

androidapp上架应用市场所需资料说明

App上架应用市场所需资料说明前言正文一、确认上架平台二、企业开发者账号三、应用上架资料四、等待平台审核前言  作为Android开发工程师,如果你的人生中没有自己上架过应用,那是很幸运的,因为那样你就... 查看详情

androidapp上架应用市场所需资料说明

App上架应用市场所需资料说明前言正文一、确认上架平台二、企业开发者账号三、应用上架资料四、等待平台审核前言  作为Android开发工程师,如果你的人生中没有自己上架过应用,那是很幸运的,因为那样你就... 查看详情

洛谷p1071潜伏者题解

...方都互派间谍,潜入对方内部,伺机行动。历尽艰险后,潜伏于S国的R国间谍小C终于摸清了S国军用密码的编码规则:1.S国军方内部欲发送的原信息经过加密后在网络上发送,原信息的内容与加密后所得的内容均由大写 查看详情

ac日记——潜伏着openjudge1.711

11:潜伏者总时间限制: 1000ms 内存限制: 65536kB描述R国和S国正陷入战火之中,双方都互派间谍,潜入对方内部,伺机行动。历经艰险后,潜伏于S国的R国间谍小C终于摸清了S国军用密码的编码规则:1、    S... 查看详情

为啥安卓手机老是闪退啊?

如果您使用的是华为手机,手机应用出现闪退的现象,可能是应用版本过旧、应用权限未开通,系统内存不足等原因,请您按照以下方法排查:1、将应用和系统版本升级至最新(新版本会提升兼容性和稳定性)(1)更新应用版... 查看详情

海信智能电视盒怎样刷第三方软件

推荐给你的电视机或者电视盒子安装一个当贝应用市场,然后到当贝应用市场里面下载安装(影视快搜,小微直播,云视听MoreTv(电视猫),看直播高清不卡!)安装当贝应用市场教程:一、百度【当贝应用市场】下载当贝应用... 查看详情