当前位置 & &
& 新型安卓病毒现身：自动下载安装APP 无法卸...
新型安卓病毒现身：自动下载安装APP 无法卸载
08:58:05&&作者：
编辑：冰冰 &&)
让小伙伴们也看看：
阅读更多：
好文共享：
文章观点支持
当前平均分：0(0 次打分)
[10-20][10-19][10-19][10-19][10-19][10-19][10-19][10-19][10-18][10-18]
登录驱动之家
没有帐号？
用合作网站帐户直接登录掺水油, 积分 373, 距离下一级还需 127 积分
掺水油, 积分 373, 距离下一级还需 127 积分
掺水油, 积分 373, 距离下一级还需 127 积分
主题 : 1|帖子 : 65|积分 : 373
使用一加万能工具包v5.1&&v5.3 360都提示木马病毒，然后自动拉进隔离区了，怎么回事呢
掺水油, 积分 373, 距离下一级还需 127 积分
掺水油, 积分 373, 距离下一级还需 127 积分
掺水油, 积分 373, 距离下一级还需 127 积分
主题 : 1|帖子 : 65|积分 : 373
大神们是真有病毒还360乱报呢
煤油, 积分 3435, 距离下一级还需 1565 积分
煤油, 积分 3435, 距离下一级还需 1565 积分
煤油, 积分 3435, 距离下一级还需 1565 积分
主题 : 26|帖子 : 1034|积分 : 3435
煤油, 积分 3968, 距离下一级还需 1032 积分
煤油, 积分 3968, 距离下一级还需 1032 积分
煤油, 积分 3968, 距离下一级还需 1032 积分
主题 : 0|帖子 : 1126|积分 : 3968
直接选择不再提示就行了
---来自一加社区手机客户端
主题 : 51|帖子 : 602|积分 : 4152
卸载360就是最好的方法
---来自一加社区手机客户端
柴油, 积分 8540, 距离下一级还需 1460 积分
柴油, 积分 8540, 距离下一级还需 1460 积分
柴油, 积分 8540, 距离下一级还需 1460 积分
主题 : 53|帖子 : 3333|积分 : 8540
煤油, 积分 3341, 距离下一级还需 1659 积分
煤油, 积分 3341, 距离下一级还需 1659 积分
煤油, 积分 3341, 距离下一级还需 1659 积分
主题 : 61|帖子 : 1117|积分 : 3341
楼上正解！
---来自一加社区手机客户端
柴油, 积分 7362, 距离下一级还需 2638 积分
柴油, 积分 7362, 距离下一级还需 2638 积分
柴油, 积分 7362, 距离下一级还需 2638 积分
主题 : 8|帖子 : 3585|积分 : 7362
隔离区找回，添加信任
---来自一加社区手机客户端
主题 : 7|帖子 : 540|积分 : 3107
你信360？不提示有木马病毒360哪里还有存在感？
---来自一加社区手机客户端
煤油, 积分 4892, 距离下一级还需 108 积分
煤油, 积分 4892, 距离下一级还需 108 积分
煤油, 积分 4892, 距离下一级还需 108 积分
主题 : 11|帖子 : 1533|积分 : 4892
一加手机1勋章
我是加油GG
祝加油GG男生节快乐
羊年纪念勋章
二周年纪念勋章
一加二周年纪念勋章
在线小达人
社区上线100天纪念勋章
氢OS内测荣誉勋章
一加社区氢OS内测加油纪念勋章
元旦纪念勋章
一周年纪念勋章
一加一周年纪念勋章
圣诞节祝福勋章
马年纪念勋章 马上啥都有
& 2015 深圳市万普拉斯科技有限公司 版权所有 (Oldboot鬼影又现，另一例山寨手机中运用云端远控技术的木马
一、&&&&&&&&&& 行为概述
近日,用户反馈称在不知情的情况下手机中会被安装上四款游戏软件,即便主动卸载后又在一天之内被重复安装. 360手机安全专家分析,该android手机木马通过修改系统设置程序（setting）的源代码以及在云控指令下可安装或删除在/system/base目录下的四个游戏软件,另外通过云端及本地参数的适配，木马可实现的功能包含自更新、ROM更新、安装Apk、卸载Apk、执行任意程序任意命令等.据统计,该木马通过专业厂商定制的第三方ROM所感染,其中所感染的机型多达180余种，感染用户预计在数十万以上。详见下文分析。
图1.被木马安装上的四款游戏
图2.网上关于该手机窃取用户金融财产的反馈
二、&&&&&&&&&& 样本结构
两个恶意文件均预装在ROM里
包名: com.android.settings
文件路径: /system/app/HctSettings_vivo.odex
包名: com.cooee.mcesys
Md5: e42fb505b5de09ba63c9
文件路径: /system/app/Mcesys.apk
三、&&&&&&&&&& 架构分析
1.& com.android.settings分析
云控安装/卸载apk
通过ContentProvider与com.cooee.mcesys进行进程间通信,获取PhoneInfo及发送安装卸载/system/base下的apk文件.
图3.声明的Provider
图4./system/base下的apk文件
获取/system/base目录下apk包名等属性加入到app_packs_db数据库文件中,表名为cooee_hide_packs.
图5.cooee_hide_packs表
注册下列URI用来给com.cooee.mcesys提供PhoneInfo及对com.cooee.mcesys发送的安装卸载包做响应.
uriMatcher.addURI(&com.android.settings.CooeeAppCtrlDataProvider&,&users/ctrl_status&, 2);
uriMatcher.addURI(&com.android.settings.CooeeAppCtrlDataProvider&,&users/package_info&, 6);
uriMatcher.addURI(&com.android.settings.CooeeAppCtrlDataProvider&,&users/all_item_no_pack&, 5);
uriMatcher.addURI(&com.android.settings.CooeeAppCtrlDataProvider&,&users/phone_info&, 8);
图6.Uri类型
其中PhoneInfo中的factory_id,push_time等参数用于给com.cooee.mcesys云控.
图7.获取的PhoneInfo
安装卸载/system/base下的apk文件(卸载包时会排除QQ手机管家)
图8.安装/卸载包
2.& com.cooee.mcesys分析
六大模块介绍
Background模块负责后台静默查询云端,响应指令结果分发给callback.
Common模块封装了常见的压缩,root,http,log,calc md5,reboot recovery等操作.
Download模块封装了下载,分发callback.
Localdata模块封装了一个Sqlite数据库用于给manager做交互及对云控包做管理.
Update模块封装了对下载回来的文件进行子命令解析,执行,分发给callback.
Xml模块封装了对BackgroundRequest返回包的描述.
图9.子模块列表
对服务器请求的BackgroundRequest分类
云控服务器配置信息
BackgroundRequest.SERVER_CONFIGURE_INFO_REQ
服务器返回的推广包信息
BackgroundRequest.UPGRADE_INFO_AIRPUSH_INFO_REQ_FORCE
BackgroundRequest.UPGRADE_INFO_AIRPUSH_INFO_REQ_NORMAL
BackgroundRequest.UPGRADE_INFO_LIST_REQ
BackgroundRequest.UPGRADE_PACKAGE_INFO_GET_REQ
单个推广包信息
BackgroundRequest.UPGRADE_PACKAGE_FILE_INFO_GET_REQ
BackgroundRequest.UPGRADE_PACKAGE_FILE_DOWNLOAD_REQ
发送下载/安装完成至云端
BackgroundRequest.UPGRADE_PACKAGE_FILE_DOWNLOAD_FINISH_CONF
BackgroundRequest.UPGRADE_PACKAGE_INSTALL_COMPLETE_CONF
获取用户隐私并上传
上面所提到的请求都会获取设备隐私信息发送到服务器
图10.获取的隐私信息
Mcesys使用到的权限
图11.权限使用
云控自动联网下载配置文件
Mcesys安装后无图标,响应BOOT_COMPLETED,CONNECTIVITY_CHANGE, PACKAGE_ADDED等广播,最终触发到com.cooee.mcesys.service.RotaService.该服务开启BackgroundThread线程监视当前机器环境,满足一定条件联网发送BackgroundRequest请求。具体为当前联系人/通话记录/收件箱/发件箱任一数量超过20条并且开机超过四个小时并且没有发送过BackgroundRequest中的airpush相关请求包并且不在0-8点.
苛刻的触发条件，增加了分析的难度，并且会导致很多自动化分析工具失效，另一方面也会让恶意行为出现在真正的用户设备上。
图12.相关触发点条件设置
图13.联网条件
联网后通过BackgroundRequest.SERVER_CONFIGURE_INFO_REQ返回的请求包相关字段来判断是否强制安装/卸载/system/base下的apk(由com.android.setttings模块执行)。这一步判断逻辑为本地PHONE_RUNTIME, SMS_COUNT, CALL_COUNT是否超过服务器返回的值并且RETURN_CODE字段值不等于0&262。
图14. SERVER_CONFIGURE_INFO
图15.更新本地配置与服务器同步
发送安装/卸载请求到com.android.settings并执行(通过ContentProvider)
图16.发送安装卸载请求
发送AirPush请求, BackgroundRequest.UPGRADE_INFO_AIRPUSH_INFO_REQ_NORMAL返回包如下
图17.AirPush返回包结构
其中FILE_ID字段为关键key,如果DESCRIPTION字段包含&com.cooee.mcesys&与& MCE_YZFA_COMMON_MTK001&则分发给callback做自更新,包含&ROTA_DELETE&则执行删除本地路径操作,否则就弹出通知栏诱导用户点击安装.
发送UPGRADE_PACKAGE_FILE_INFO_GET_REQ与UPGRADE_PACKAGE_FILE_DOWNLOAD_REQ下载推广包,返回的压缩包结构为
图18.File_Download返回包结构
Cmd.xml文件标识着子命令及参数的组成
图19.cmd.xml文件结构
云控自动更新ROM、安装/卸载APK、执行任意命令、自更新
其中CMD NAME为ROTA_INSTALL,子命令分类如下:
UpdateCommandEnum.DEFF & 更新ROM
UpdateCommandEnum.ROTA_COPY & 拷贝res中的文件到system目录
UpdateCommandEnum.ROTA_DELETE & 删除文件
UpdateCommandEnum.ROTA_INSTALL & 静默安装apk
UpdateCommandEnum.ROTA_UNINSTALL & 静默卸载apk
UpdateCommandEnum.ROTA_SHELL_CMD & 以root权限执行任意命令
UpdateCommandEnum.ROTA_SHELL_REBOOT & 暂未实现
UpdateCommandEnum.ROTA_UPDATE & 自更新mcesys
四、&&&&&&&&&& 感染机型
经我们不完全统计，仅最近半个月，该木马的感染机型达到180多种，感染数量近3万。
部分机型列表如下：
五、&&&&&&&&&& 解决方案
目前,我们已经独家发布了专杀工具，下载地址是：
/mobilesafe/shouji360/360safesis/OldbootKiller_v2.apk
该专杀工具可以对Android设备进行深度地精确扫描，判断其中是否存在云端远控木马及其变种。我们在其中开发了全新的查杀技术，能够有效的保护您的手机免受云端远控木马的侵害。
如果目前暂不支持您的设备或者专杀工具在您的手机上无法正常工作，我们的建议您：
定期检查该专杀工具的更新，我们将逐步增强专杀工具的防御能力；
在专杀工具检测到云端远控木马后，将您的机型信息和样本上报给我们，可以帮助我们更快更好地开发出适合您的机型的查杀代码；
加入我们的技术支持QQ群，向我们反馈更多的信息，并获得我们应急响应工程师的技术指导；
安装360手机安全卫士，开启云查杀功能，抵御云端远控木马带来的关联威胁。
六、&&&&&&&&&& 总结
从代码实现上来看用户机器上的com.cooee.mcesys应为迭代版本,框架中的很多接口都已经搭好但未使用.Mcesys.apk实现了远控的所有操作,只需要云端根据不同工厂ID(haocheng),PhoneInfo等条件配置返回信息即可,加上可以自由更新rom包导致可扩展性非常好.服务端可以根据不同的客户机条件下发不同的程序和命令，导致危险行为很隐蔽，被查杀难度加大。通过和用户交流沟通以及从网上收集到的资料来看，我们认为我们分析报告中指出的危险行为只是冰山一角，我们推测该云控木马将大量恶意程序放置在云端，一旦发现用户手机中有涉及到金融操作等敏感行为时，云端可以派发更多恶意程序实现金融盗窃等行为。另外，该远控木马也可以放长线钓大鱼等用户数量累积到一定程度的时候，来个一网打尽。对此，360安全中心再次提醒广大用户一定要到正规卖场尽量购买正规厂商的电子设备
顶一下(0) 踩一下(0)
热门标签：只要安装一个木马软件，您的手机就能变成一个窃听器！ - 今日头条()
只要安装一个木马软件，您的手机就能变成一个窃听器！
只要安装一个木马软件，您的手机就能变成一个窃听器，不但能随时监听您的手机通话，记录您的短信，还能在手机挂断状态下实时监听您的所有言谈。昨天，在武汉全市保密工作会议上，国家保密技术研究所专家现场演示了手机窃听的全过程。保密专家在被控电话1581057****上安装了一个木马软件，随后现场一位工作人员给手机主人打了一个电话，通知某会议的时间、地点。通话结束后，保密专家点开笔记本电脑，木马软件已将刚才的通话录音传送至邮箱，一点击就能清晰地播放出来。随后工作人员给手机主人发了一条短信，电脑屏幕上同步出现了短信内容和收发时间。接下来手机主人将挂断状态的手机放在桌子上，与身边的人谈论了几分钟工作事宜。这些谈话正同步被录进木马软件中，保密专家在电脑上一点击，录音就清晰地播放了出来。“太可怕了。”一位参加会议的国企工作人员说，虽然他早就知道手机有泄露信息的风险，但没想到如此轻易就能被全程跟踪和监听。其实，除涉密公务人员外，普通人也面临手机被窃听的风险。会上播放的短片显示，具有监听、窃密功能的多款“窃听软件”在网上、电脑城销售火爆。在“神不知鬼不觉”的情况下，手机持有者的通话录音、收发短信、精确位置等隐私信息被全部监控，其强大功能令人吃惊。如何防止手机被窃听？专家建议，一旦手机出现流量变化或其他异常现象，要安装正规手机杀毒软件及时查杀木马病毒，开启防通话窃听功能；注意不要随意将手机借给他人、接受他人赠送的新手机；收到来路不明的彩信或网站链接，不要点击。（武汉晚报记者张慧萍）
创刊于日，影响有影响的人。武汉，每天不一样！
(C) 2015 今日头条
违法和不良信息举报电话：010-
公司名称：北京字节跳动科技有限公司/北京字节跳动网络技术有限公司> &新型短信木马 扫光你的银行卡
新型短信木马 扫光你的银行卡
编辑：YOYO&&日期:&&
导语：新型短信木马是什么？新型手机短信木马内容链接，手机短信拦截木马在线下载。临近年末，不少犯罪分子蠢蠢欲动，近期一种新型短信木马诈骗不断蔓延，若是好奇点开链接，手机就可能感染木马，诈骗分子可远程调看信息、拦截短信、直到扫光你的银行卡。
新型短信木马是什么&新型手机短信木马内容链接&手机短信拦截木马在线下载　　临近年末，不少犯罪分子蠢蠢欲动，近期一种新型短信木马诈骗不断蔓延，若是好奇点开链接，手机就可能感染木马，诈骗分子可远程调看信息、拦截短信、直到扫光你的银行卡。昨日，岛城警方提醒广大市民，目前对移动支付安全威胁最大的主要来自恶意病毒、欺诈短信、钓鱼网站以及手机丢失，市民应注意密码的安全防护。不少人以为，只有手机丢了，移动支付才会不安全。其实不然，要知道有钱的地方必定会有“贼”。因此，以下这几个移动支付陷阱，大家可要看清了。　　啥样的短信不要乱打开　　“这是你做的事的照片，太恶心了吧，后面还附有一个网页链接”“这是我们以前聚会的相片，好温馨哦，点开链接查看”……遇到这样的短信内容，千万不要好奇，千万不要点开链接，请直接删除此信息，否则手机就感染了木马！诈骗分子可以远程调看你的所有信息，包括网银、支付宝密码等，并拦截取款汇款的交易短信，直到扫光你的银行卡。近期就有受害人不慎点击了此类信息，一天后4张卡里少了5万多块，而且没收到任何消息提示！警方提醒，此类信息附带的链接后缀多为APK的木马病毒软件，点击后就会迅速安装，看到APK、URL等字样请立即删除信息。新型短信木马是什么&新型手机短信木马内容链接&手机短信拦截木马在线下载　　悄无声息&隐私悄悄被盗　　现在人们去咖啡厅喜欢干啥？那必是连个免费WiFi，品着咖啡，玩着游戏，别太high，一不留神，说不准免费WiFi就把你的钱给“偷”了！在类似咖啡厅这种公共场合，通过免费WiFi虽然打开的是正常网站，启动正常App，但手机这样还是容易被不法分子控制。事实上，不法分子可以利用手机操作系统本身存在的安全漏洞，插入恶意攻击程序，而这种恶意程序通常在人们连接不法分子设置的&“山寨WiFi”等操作时悄然植入手机之中。一旦手机被完全“接管”，支付账号密码可就不安全了。看来，这以后还得对免费WiFi多长点心啊！　　◆提醒　　使用多重密码来保障支付账户的安全，根据支付应用内的提示，将所有安全防御措施打开，比如手机支付密码、图形密码、手机验证码，有条件的话最好开启指纹密码；如涉及需要提供自己手机验证码、身份证号码、银行卡号等信息，一定要当面核实其准确性，千万不能把这些随便泄露给他人。
我也说一句...
还没有网友对此资讯发表评论!
最近大家喜欢看的
热门关键字