警惕恶意代码传播者盯上QQ群

By | 2014年12月4日

Post by Gandalf

概述

AVL移动安全团队近期收到部分网友反馈一些QQ群里面出现一些“安卓系统加速器.apk”、“11月银行清单资料.apk”、“聚会相册.apk”等可疑文件,经分析后发现均为手机恶意木马软件。黑产人员将这些恶意软件伪装成为重要资料、系统工具等诱导用户下载安装,最终是为了窃取用户手机中的重隐私信息,牟取经济利益等。

随着移动互联网发展,使用手机QQ的用户越来越多,那么用户很容易在使用手机QQ群时被诱导安装恶意软件,造成不必要的损失。据粗略估计最近一个星期已有大批QQ用户因此中招。

QQ群推广恶意软件实例分析

恶意软件传播者疯狂加QQ群并上传恶意软件到“群共享”,诱骗网友下载安装。以下是我们选取的部分在QQ群推广的恶意软件实例。

“安卓系统加速器.apk”

该恶意软件伪装成系统工具被人直接上传至某Android安全讨论群。该用户进群后立即上传恶意软件,目的性表现的非常明显。 11 分析发现该木马实际上就是之前国内大范围爆发的“XX神器”的恶意子包。“XX神器”主包负责短信恶意传播,而子包部分则负责拦截窃取短信、邮箱上传隐私、获取淘宝信息等。(“XX神器”分析详情请参见xxshenqi木马分析报告) 下图是该软件执行短信拦截行为的代码: 44 对比之前“XX神器”的恶意样本,该木马包结构与其包结构完全相同。对比两者反编译的smali代码,其主要差异只在于手机号码不同,使用寄存器都完全一样,因此判断该恶意软件是经反编译后修改手机号码再进行了重打包。由此可见恶意代码开发成本其实也相当之低。 99

“11月银行清单资料.apk”

该恶意软件伪装成银行资料,被人投放进某移动安全用户群的“群共享”。 22 经分析发现该木马属于短信拦截马,安装运行后删除图标,伪装成系统服务,拦截所有的短信,并将接收到的短信转发到指定号码。 下图代码即是短信拦截部分:55

“聚会相册.apk”

该恶意软件伪装成聚会相册,被人投放至某高校计算机系硕士群。 33 该恶意软件运行时会安装恶意子包,诱导用户激活设备管理器,转发用户收件箱至指定手机号,给用户带来隐私泄露和资费消耗。 该样本发送短信、拦截屏蔽短信功能都在恶意子包中: 6677

总结

这三个软件均是属于短信拦截、隐私窃取类型的木马,均能被AVL Pro检出,详细检出信息如下: 88

利用QQ群传播PC端恶意木马由来已久,但传播手机木马则相对少见。随着手机上网聊天的人越来越多,加上恶意代码开发成本越来越低,这类传播行为肯定会愈演愈烈。恶意传播者疯狂在各类QQ群中上传此类手机木马软件,诱导网友安装使用,从而达到其不法目的。( “短信拦截马黑产揭露”揭露了从木马开发到恶意传播至非法获利的整个过程。)

安全建议

对于安全厂商而言,抑制恶意代码的传播需要控制其传播渠道。比如这类通过社交聊天群恶意传播木马的情况,则需要运营社交聊天工具的公司加强对共享上传文件的检测。

对于个人用户而言,则需要注意保持良好的上网习惯,遇到可疑文件,切勿随意下载安装使用。同时用户可以使用AVL Pro对此类木马进行检测。

4 thoughts on “警惕恶意代码传播者盯上QQ群

  1. 赵馗喃

    “对比之前“XX神器”的恶意样本,该木马包结构与其包结构完全相同。对比两者反编译的smali代码,其主要差异只在于手机号码不同,使用寄存器都完全一样,因此判断该恶意软件是经反编译后修改手机号码再进行了重打包。由此可见恶意代码开发成本其实也相当之低。”好逗。。。。。

    Reply
    1. AVLTeam Post author

      恶意软件开发的成本低,别有用心的人更容易想发不义之财。网友们要更加当心呐!!

      Reply

发表评论

电子邮件地址不会被公开。 必填项已用*标注