移花接木病毒来袭,赌博软件伺机而动

一、背景

移花接木,指暗中使用巧计在事情进行过程中更换人或事物来欺骗别人。

近期腾讯安全反诈骗实验室发现了一款网络赌博病毒DownloadGambling。该病毒使用移花接木技术手段,通过“安全的”母包下载赌博软件,从而达到欺骗各大应用商店、安全系统的目的。该病毒首先会判断用户是否为中国用户,如果是中国用户则会私自下载并安装指定的赌博软件,赌博软件从云端下载安装,不需要上架各大应用市场,躲避安全机构的查杀;如果不是中国用户则运行软件本身的功能界面,进行超级伪装。

病毒特点:

软件本身作为载体是安全的,可以轻松绕过各大应用市场的安全检测机制,便于软件上架;

通过载体从云端下载网络赌博软件,用户和监察机构不易发现,增加赌博软件的存活时长;

启动安全的载体软件便会启动赌博软件,增大了与用户接触的几率,间接增加赌博软件的用户量,可能会使更多的用户使用;

受到移花接木影响的主要应用程序感染列表:

病毒运行流程图:          

病毒运行截图:

二、病毒影响范围

DownloadGambling病毒感染用户趋势:

随着打击力度增加,感染用户数呈下降趋势

DownloadGambling病毒感染用户分布图:

感染用户最多的省市为:云南省、广东省、四川,分别占比8.5%、7.8%和5.5%

三、病毒详细分析

作为赌博软件载体的样本信息: 

网络赌博软件样本信息:       

1、软件启动后,通过访问网址获取网络IP地址信息并发送Message信息

获取IP地址信息网址:http://p******.com/c*****n?ie=utf-8         

发送Message信息

2、 在主界面SplashUpdateActivity中对Message信息进行判断处理,当满足IP地址是在中国时,替换软件背景图片并私自下载赌博类软件;到不满足条件时启动MainActivity,运行软件自身功能界面,以此来达到欺骗用户的目的

当满足条件时,调用initNewNetWork方法替换软件背景图片并私自下载指定的赌博软件

当不满足条件时,启动符合软件自身功能的Activity

通过downloadLayout方法替换软件背景图片

背景图片下载地址:https://img.x******ver.com/u****9/201908/p****2.jpg

3、 在initJumpStateJudge方法中判断是否已安装赌博软件,若已安装,则

直接启动赌博软件,若没有安装,则下载赌博软件并安装

存储在本地SharedPreferences中的赌博软件包名

4、 通过autoUpdate方法下载赌博软件

下载赌博软件

安装下载完的赌博软件

四、建议及手机管家查杀截图

腾讯安全反诈骗实验室建议:

1、不安装来源不明的应用,该类应用可能会危害您的手机安全;

2、 安装腾讯手机管家,可准确有效的保护您的手机安全;

3、从正规渠道下载安装所需的应用,可有效避免病毒软件;

受感染应用程序MD5列表:

7704c9f96faf4dda339b7f9bc4028c58

47fe89e3d936f47cc8e73de6269de4b2

560d5f491fb817d26181e76b84974fae

d5561bc8a3f4dd90792069f5cad3fc67

9898cf3a588a9546092c036ee81b56ac

*本文作者:腾讯手机管家,转载请注明来自FreeBuf.COM