【Android病毒分析報告】 - ZooTiger 「集惡意推廣、隱私竊取、惡意吸費於一體」

本文章由Jack_Jia編寫，轉載請註明出處。  
文章連接：http://blog.csdn.net/jiazhijun/article/details/11772379

做者：Jack_Jia    郵箱： 309zhijun@163.com

 

 

    近期百度安全實驗室發現一款ZooTiger新病毒，該病毒集吸費、隱私竊取、惡意推廣功能與一身，該病毒目前已感染大批第三方應用市場內的「功夫熊貓3」、「小豬愛打架」等大批流行遊戲。該病毒集多種惡意行爲於一身，堪稱Android病毒的「功夫熊貓」。

    目前該病毒樣本在各市場已有10萬以上的下載量，如下是某第三方市場樣本截圖：

 

 

 

    該病毒啓動後，後臺偷偷訪問遠端服務器獲取指令，並根據服務器端指令完成如下惡意行爲：

    惡意推廣方面：

       一、後臺自動下載應用提示安裝。

       二、插入廣告短信到您的短信收件箱。

       三、打開指定的應用。

       四、打開瀏覽器訪問指定網頁。

    隱私竊取方面：

       一、上傳您的聯繫人信息到服務器。

    惡意吸費方面： 

      一、後臺私自發送短信訂閱付費服務。

      二、經過WAP訂閱扣費服務並自動完成扣費流程。

    目前該病毒的遠端指令服務器有如下幾個，客戶端隨機選擇指令服務器獲取指令：

       http://sdk.gmdrm.com/sdk/{ actiontype}

       http://sdk.meply.net/sdk/{ actiontype}

       http://sdk.lvply.com/sdk/{ actiontype}

       http://sdk.plygm.com/sdk/{ actiontype}

       http://sdk.ilvgm.com/sdk/{ actiontype}

 

   下面對該病毒樣本進行簡單分析：

       樣本MD5 ：a783fbcfc82db8912475f11184b27a59

       應用包名：com.play.kfpanda

 

  惡意代碼結構樹：

          （披了一層貌似SDK的外衣）

        

 

一、首先該病毒在AndroidManifest.xml文件註冊大量系統頻發廣播，以便惡意組件可以順利運行。

 

 

 

 

三、當zoo.tiger.sdk.core.StateReceiver接收到開機、網絡鏈接變化等系統廣播後啓動CoreService和PayService兩個關鍵服務。

 

 

四、CoreService服務完成如下惡意行爲：

  後臺自動下載應用提示安裝。

 

   插入廣告短信到您的短信收件箱。

 

  打開指定的應用，經過瀏覽器訪問指定網頁。

 

   上傳您的聯繫人信息到服務器

 

五、PayService服務完成如下吸費惡意行爲

   經過SMS訂閱SP服務、WAP訪問扣費服務