公司新闻

VisualThreat发现最新的安卓FakeAV:“Se-Cure Mobile AV”

April 29, 2014

Visualthreat安全实验室与4月29号发现了一个新的安卓FakeAV(伪杀毒软件)“Se-Cure Mobile AV”,距上次在Google Play上发现的FakeAV“Virus Shield”仅有两周多时间。

FakeAV不同于一般恶意应用,很难用传统的查毒方式检测。VisualThreat的研究人员建立了正常杀毒引擎的行为机理,通过对比新出现的所谓的杀毒应用和这个正常杀毒行为机理特征比对,从而能确定该应用是否属FakeAV类别。此外,4层威胁关联:静态分析,行为分析,恶意软件同类和跨类关联,也帮助实时追踪移动恶意应用变异和演化的过程。

此恶意应用的主要特征:

  • 不能检测到手机病毒,属于FakeAV
  • 尝试从http://malicious.coproration.hxor.ex/test.apk 下载另外一个apk文件
  • 类似Virus Shield,在初始界面右上角有红色的“Secured!”,在“扫毒”完成后“secured”变绿加绿色勾。
  • 唯一的好消息是,这个app不会像Virus Shield那样收取用户3.99美元
  • 向http://malicious.coproration.hxor.ex/request00.php, equest01.php,equest02.php发送一些GET请求
  • 点击SMS Scan按钮,或者在几次Fast或Full Scan之后如果再次使用,会弹出用Google账号注册的界面。注册后会通过Google账号来给联系人发送垃圾邮件。

  • 具体实现机制: 首先是MainScreen类,点击SMS Scan或未注册时会执行a(),加载google account登陆页面

    加载的是assets里面的googleLogin.html,部分内容如下:

    dv的onActivityCreated方法,添加了js接口:

    页面的js代码里有abcd()这个函数,对应dz的abcd:

    调用了dv的private void a(String paramString1, String paramString2):

    dx的run(),执行 AsyncTask ea:

    发邮件通过ea、em这两个类实现:
    
    首先是ea类的doInBackground,下面是smali代码:
    .method protected varargs synthetic doInBackground([Ljava/lang/Object;)Ljava/lang/Object;
        .locals 1
        check-cast p1, [Ljava/lang/String;
        invoke-virtual {p0, p1}, Lea;->a([Ljava/lang/String;)Ljava/lang/String; #调用ea本类的String a(String[] paramArrayOfString)
        move-result-object v0
        return-object v0
    .end method
    protected String a(String[] paramArrayOfString):
    
    doInBackground调用ea自己的protected String a(String[] paramArrayOfString),这个函数调用了em的方法来发送邮件

    
    Em类的public void a(String paramString1, String paramString2, String paramString3, String paramString4)方法,它的参数介绍如下:
    	Param1——主题
    	Param2——内容
    	Param3——发信人
    	Param4——接收人
    	
    

    eu.enisa.se_cure.Core类onCreate方法,检测sharedpref目录下AV.xml各属性的值,若UPF为true,执行eo;若DAU为true且NUM大于等于3,执行dr。

    AsyncTask eo上传文件的函数

    调用eo类中的private void a(String paramString1, String paramString2),其中
    Param1 本地文件名
    Param2 上传文件名
    POST对应地址是http://malicious.coproration.hxor.ex

    dr和eo大同小异,区别在于执行的是GET请求,请求内容大概是用户email地址

    eu.enisa.se_cure. SecureAlarm类执行AsyncTask el,首先Core在onCreate调用了自身的public static void a(Context paramContext): 每隔5分钟向SecureAlarm发送一次广播

    收到广播,SecureAlarm执行onReceive
    el类发送GET请求,请求内容是时间戳
    最后,获取所有包含字串“gmail.com”的账号

关于我们对这个app威胁报告的更多信息,请访问 http://www.visualthreat.com/report.action?md5=16BD4B23B55F0ADE6DF16D8C6DCF502C

博客发布时没有其他厂商检出此应用为FakeAV
2014年5月8日更新时已有众多厂家发现该FakeAV威胁