新一的移动恶意软件被发现在谷歌玩伪装成多个应用程序:一个闹钟应用,QR扫描仪应用程序,指南针应用程序,一个图片编辑器应用程序,网络速度测试程序,和一个文件浏览器应用程序。根据谷歌游戏数据,都是最后更新2017年10月和11月之间。这些日期很可能是它们被添加到谷歌Play的时候,基于它们较低的版本号(例如1.0,1.0.1)。
我们将这个新的恶意软件变体命名为Android/木马。AsiaHitGroupbased on a URL found within the code of these malicious APKs.
为了便于讨论,我们分析这个恶意软件时,让我们只关注其中一个相关的应用程序,因为它们都有相同的行为。我们将重点关注一个名为二维码发生器-二维码扫描仪.
表面分析木马AsiaHitGroup
AsiaHitGroup的恶意有好几层。在安装后,它会在移动设备上创建一个图标。点击图标,就会像承诺的那样,打开一个功能正常的QR扫描仪。
然而,这个QR扫描仪的寿命很短。你只有一次机会使用应用程序,因为点击后,图标会消失!出于沮丧,你可能会立即进入你的应用程序列表,卸载这个行为怪异的二维码扫描仪,但希望你能找到它。如果你在Q下面找的话Qr编码器信号发生器或Qr扫描仪,它不在那里。甚至不在图标的名字下,条形码阅读器,它在消失前被简单地展示了一下。相反,这个欺骗性的应用程序被称为下载管理器在应用列表中。除非你非常了解你的移动设备上的所有应用程序,否则几乎不可能发现这个应用程序名称。
深入了解Trojan AsiaHitGroup
如果以上列举的行为还不足以证明这个二维码应用是恶意的,那么情况会变得更糟。恶意应用程序在后台执行的第一步是检查移动设备的位置。这是通过使用网站来完成的ip-api.com它使用IP提供地理定位。如果位置位于满足代码规则的区域内,则继续下一步。下一步是通过访问包含下载说明的网站来下载APK。
代码从http:// [hidden_domain] / api /定制/ dynamic-fragment附有下载APK的说明
{"id": "duy.van.dao.dynamicduy.20171005.16", "files": [{"id": "duy.van.dao.dynamicduy.20171005.16", "md5": "4662e8537751c49beb06309a989796fc", "url": "https://[hidden_domain]/hoanghai27/dynamic-fragment/raw/master/dynamic-plugin-v22.apk"}], "version": "20171005.16", "fragments": [{"code": "duy.van.dao.dynamicduy.20171005.16", "name":“duy.van.dao.dynamicduy。MainFragment”、“主机”:“dynamicfragment”}]}
不幸的是,在测试期间,APK无法通过恶意的QR应用程序下载-很可能是由于我的位置。但是,我可以使用下载说明中提供的URL手动下载APK。这个下载APK的行为是一个木马短信(这就是为什么我后来命名为Android/木马。SMS. asiahitgroup)。根据代码中对亚洲的所有引用,我的假设是你一定是在亚洲让这个恶意软件完全发挥作用。
添加一些广告软件
即使恶意的木马短信无法下载,也存在另一层恶意。在恶意的二维码应用程序中隐藏着另一个APK。然而,这个隐藏的APK是一个不那么具有威胁性的广告软件推广应用。
这款隐藏的广告软件应用有一个不同寻常的服务名称:vn.solarjsc.fakeads.ShowAdsService。在这个服务中,有引用相同的域,被用来获得木马短信的下载指令。虽然我无法验证,这个域名也可能包含在服务名称中引用的“fakeads”。无论如何,请放心,我们正在检测这个隐藏的广告软件应用程序以及Android/ adware . asiahitgroup。
谷歌演奏:不是很完美
即使引入了谷歌播放保护,似乎没有万无一失的方法来阻止恶意软件进入Play商店。这就是我们强烈建议的第二层保护。通过使用高质量的移动反恶意软件扫描仪,您可以保持安全,即使谷歌Play Protect失败。我们(显然)推荐必威平台APPAndroid伪.在外面注意安全!
恶意APK样本:使用风险自负
Android /特洛伊。AsiaHitGroup
MD5: 178E6737A779A845B8F2BAF143FDEA15,包名:duy.van.dao.qrcode
MD5: 7EEC1C26E60FEDE7644187B0082B6AC4,包名:com.varvet. barcoderreader
MD5: 7CEDA121F9D452E9A32B8088F50012B8,包名:com.maziao.alarm
MD5: B481CE9D0B7295CDA33B15F9C7809B95,包名:com. magiaomat.editimage
MD5: 60A71632004EE431ABB28BF91C3A4982,包名:com.maziao.speedtest
MD5:无,包名:com.ruzian.explorer
Android / Trojan.sms.asiahitgroup.
MD5: 3CC02E4FECEB488B084665E763968108,包名:duy.van.dao.dynamicduy
Android /广告软件。AsiaHitGroup
MD5: 995D5DC873104B5E42B3C0AF805359DB,包名:com.offer.flashcall
评论