偽裝成流行應用是手機病毒的常見手段，對于那些沒有實際功能的病毒，細心的用戶可能很快會發(fā)現(xiàn)自己安裝了仿冒的應用，但是這次病毒使用了新的招數(shù)……

　　近期獵豹安全實驗室和安天移動安全團隊捕獲了一款通過偽裝成流行應用進入用戶手機的病毒——HideIcon病毒，該病毒為了讓自己偽裝得更逼真，運行后先隱藏自身圖標，后續(xù)以應用更新的方式提示用戶下載所偽裝的正版應用。在用戶安裝正版應用、放松警惕的同時，實際病毒已經(jīng)開始在后臺悄悄運行。在成功獲取用戶信任之后，病毒會進行推送各種廣告、下載其他惡意插件的行為，長期消耗用戶的流量資費，對用戶的個人隱私造成嚴重威脅。

一、感染情況分析

　　根據(jù)獵豹安全實驗室提供的數(shù)據(jù)統(tǒng)計分析， HideIcon病毒在全球感染的地域較為廣泛，南亞、東南亞、歐洲、北美洲、南美洲均有分布。感染量Top10的國家依次是印度、印尼、俄羅斯、菲律賓、墨西哥、美國、伊朗、加拿大、馬來西亞、泰國，其中南亞及東南亞國家有一半之多，且占據(jù)感染量第一、二位。可見南亞及東南亞地區(qū)是HideIcon病毒感染的重災區(qū)。

　　此外，根據(jù)數(shù)據(jù)統(tǒng)計可知，在2017.5.1至5.24期間，HideIcon病毒的感染量整體呈現(xiàn)平穩(wěn)增長趨勢，從五月初的140萬左右的感染量增長至五月底的150萬左右的感染量，尤其是在五月下旬，出現(xiàn)了一次感染量增長的“小高峰”，應當引起一定的警惕。

　　根據(jù)獵豹安全實驗室捕獲的病毒樣本統(tǒng)計，目前有包括Pokemon Go，WhatsApp在內的6款流行應用被該款病毒偽裝，對應的圖標和應用名稱如下：

二、惡意行為分析

2.1 惡意行為流程圖

2.2 惡意行為詳細分析

Step1：上傳設備信息，隱藏圖標

　　HideIcon病毒啟動后首先上傳Android_ID、IMEI、MAC、已安裝應用列表等移動設備隱私信息，其目標url為http://vinfo.mplugin.info/veco-service/v2。

　　HideIcon病毒上傳的加密隱私信息內容如下：

　　將上述加密信息解密后信息標簽和內容如下，其中包含了安卓版本信息、MAC地址等等。

　　在上傳設備隱私信息后，進行隱藏圖標的操作：

Step2：誘導用戶安裝所偽裝的正版應用

　　首先，HideIcon病毒會在后臺開啟服務：

　　其次，將assets下的正版應用文件（下圖展示的為9APPs url）復制到SD卡并且開啟一個新線程，并以應用更新的名義不斷提示并要求用戶安裝正版應用。

　　在用戶安裝正版應用并使用正常的時候，往往會放松警惕，而這時HideIcon病毒卻一直在后臺運行并陸續(xù)進行著各種惡意行為。

Step3：聯(lián)網(wǎng)獲取遠程指令，實施遠程控制

　　HideIcon病毒監(jiān)聽到正版應用安裝完成后，就開始正式實施惡意行為。其主要手段是通過聯(lián)網(wǎng)從指定鏈接中獲取遠程指令，并根據(jù)返回值進行一系列的惡意行為（指定鏈接：http://vervice.mplugin.info/veco-service/v2）。返回值和對應的惡意行為如下所示：

　　獲取指令并根據(jù)指令進行操作：

　　顯示廣告：

　　下載插件：

　　之后不斷請求安裝插件：

　　下載的插件和病毒程序本身的行為非常相似，都包含聯(lián)網(wǎng)獲取指令代碼，后續(xù)執(zhí)行廣告和激活設備管理器等行為。插件偽裝成Google Service，內置多種廣告sdk：

　　激活設備管理器的代碼如下所示，是否激活也是通過url返回值控制：

　　url返回值中包含一些社交應用包名，打開這些社交軟件時會彈出激活設備管理器：

　　設備管理器界面顯示的信息也是從url返回值中獲得的：

Step4：推送廣告

　　HideIcon病毒會不斷查詢獲取當前的棧頂activity：

　　然后判斷當前棧頂activity是否屬于系統(tǒng)應用或遠控指令返回的知名社交應用對象，如果不是則加載廣告：

　　加載的廣告將以懸浮窗或者全屏的形式置頂。

三、溯源分析

　　經(jīng)分析，該病毒相關的一系列URL對應的ip地址為越南和新加坡。此外根據(jù)病毒應用簽名及時間，可以猜測作者是越南人，位于河內，姓張。

　　同時，根據(jù)簽名信息和代碼結構，一些關聯(lián)樣本也被找到，其hash如下：

　　以上樣本從2015年4月開始出現(xiàn)，初期的樣本主要是偽裝為系統(tǒng)應用并展示廣告，但是隨著時間的推移，該家族的樣本也進行了一些技術升級，例如獲取設備管理器、引導用戶安裝正版應用、遠程下載插件，同時根據(jù)上傳信息來投放廣告等行為，進一步加大了殺毒軟件以及用戶對該病毒的判別難度，也足以看出HideIcon病毒有相對較長的傳播周期。同時，其相關的ip主要是在越南和新加坡，結合前文的感染國家分布，可以推測該病毒的目標人群主要在東南亞地區(qū)。

四、安全建議

　　針對HideIcon病毒，獵豹安全大師和集成安天AVL移動反病毒引擎的安全產品已經(jīng)實現(xiàn)全面查殺。獵豹安全實驗室和安天移動安全團隊提醒您：

　　1、建議從正規(guī)應用市場下載應用，不要從不知名網(wǎng)站、論壇、應用市場等非正規(guī)渠道下載應用； 　　2、培養(yǎng)良好的安全意識，使用獵豹安全大師或集成了安天AVL引擎的安全產品進行病毒檢測，以更好識別、抵御惡意應用； 　　3、當手機中莫名出現(xiàn)彈窗廣告等異常情況時，請及時使用安全產品掃描手機并對異常軟件進行卸載處理。

附錄

轉載請注明來源：http://blog.avlsec.com/?p=4728

總結

以上是生活随笔為你收集整理的真假应用傻傻分不清，HideIcon病毒玩起“隐身计”的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。