暗影實驗室在日常檢測中發(fā)現(xiàn)了一個以“Coronavirus”命名的應(yīng)用。而“Coronavirus”翻譯過來就是冠狀病毒的意思。威脅行為者通過將應(yīng)用命名成與武漢冠狀病毒相關(guān)的名字有利于博取用戶的關(guān)注從而增加病毒傳播感染的機率。

從Coronavirus的行為上來看，該惡意軟件屬于木馬類病毒且具備較為詳盡的竊取用戶信息的功能，可定期從服務(wù)器更新加載惡意代碼。除此之外該病毒還具備使用Teamviewer實現(xiàn)遠程控制安卓設(shè)備的功能。

[[316522]]

圖1.1 應(yīng)用圖標

Coronavirus的加載方式

通過兩次動態(tài)加載惡意代碼的方式來完成惡意行為的執(zhí)行：

(1)通過解析解密Asset目錄下的json文件加載惡意代碼

第一階段加載有效負荷：

請求開啟可訪問性服務(wù)(可以自動進行各種 UI 交互并模擬用戶點擊屏幕上的項目)

監(jiān)聽處理用戶點擊事件，以下部分行為是通過該項服務(wù)配合完成。

圖2-1 遍歷節(jié)點

從服務(wù)器下載惡意代碼并配置參數(shù)設(shè)置(作為第二階段惡意代碼動態(tài)調(diào)用的參數(shù)傳入。)

圖2-2 第二階段加載惡意代碼的參數(shù)配置

使用Teamviewer實現(xiàn)遠程控制安卓設(shè)備。

圖2-3 遠程控制安卓設(shè)備

(2)從服務(wù)器動態(tài)獲取惡意代碼動態(tài)加載調(diào)用，服務(wù)器地址：http://k**ll.ug/。

第二階段加載有效負荷：

圖2-4 從服務(wù)器獲取惡意代碼

(3)解析第一階段配置的參數(shù)信息(指令)執(zhí)行竊取用戶隱私信息、發(fā)送短信、呼叫轉(zhuǎn)移等操作，并將竊取的隱私信息上傳至服務(wù)器：http://k**ll.ug/。

表2-1 指令列表

Coronavirus自我保護手段

(1)通過加密字符串，無用函數(shù)調(diào)用來增加研究員逆向分析難度。

(2)將自身加入白名單對進程進行保活從而防止進程被系統(tǒng)殺死。

圖3-1 將應(yīng)用加入白名單進行進程保活

(3)隱藏圖標，用戶無法通過常規(guī)方式卸載應(yīng)用。當用戶通過進入應(yīng)用詳細界面卸載應(yīng)用時，打開應(yīng)用列表界面使用戶無法進入應(yīng)用詳細界面。

圖3-2 防止用戶卸載應(yīng)用

(4)繞過google GMS認證。

圖3-3 繞過google GMS認證

總結(jié)

Coronavirus通過“冠狀病毒”安裝名稱以及圖標吸引用戶安裝使用，對用戶的隱私信息造成了極大的安全隱患。由于武漢冠狀病毒事件仍處于熱點階段，不少不法分子會利用該熱點事件制作惡意軟件、發(fā)送惡意郵件或短信目的在于侵害用戶隱私信息、財產(chǎn)。用戶應(yīng)該提高雙重警惕，在免于遭受冠狀病毒對身心健康遭受侵害的同時，謹防該類惡意軟件對自身隱私財產(chǎn)造成損害。

安全建議

由于惡意軟件對自身進行了保護，用戶通過正常方式無法卸載。可采取以下方式卸載。

• 將手機連接電腦，在控制端輸入命令：adb shell pm uninstall 包名。
• 進入手機/data/data目錄或/data/app目錄，卸載文件名帶有該應(yīng)用包名的文件夾，應(yīng)用將無法運用。
• 安裝好殺毒軟件，能有效識別已知病毒。

堅持去正規(guī)應(yīng)用商店或官網(wǎng)下載軟件，謹慎從論壇或其它不正規(guī)的網(wǎng)站下載軟件。