近期内鹰盾安全防护反欺诈工作室遇到了一个网上赌博的木马程序BCgames。该木马程序

采用移形换影多种手段，利用“安全防护的”母包在线下载赌钱app，进而做到蒙骗各大应用商

城、防护系统的效果。该木马程序第一步会辨别用户是不是为国内用户，假如是国内用户则会

随意安装下载特定的赌钱app，赌钱app从云备份安裝，不用发布各大应用商店，避开安全防

护公司的杀毒；要不是国内用户则使用app本身的功能模块页面，开展超强掩藏。

 

 

APP木马程序特征：

 

app本身用作承载是安全防护的，能够 简单绕开各大应用商店的安全检测策略，有利于app发

布；利用承载从云备份网络博彩app，用户和检测公司不容易遇到，提升赌钱app的生存时间；

运行安全防护的承载app便会运行赌钱app，增加了与用户使用的机率，隐性提升赌钱app的用

户数量，很有可能会使大量的用户采用，遭受移形换影影响的关键APP传染目录。
 

 

 

二、木马程序影响区域

 

BCgames病毒性感染用户趋向：伴随着严厉打击强度提升，传染用户数量呈降低趋向BCgam

es病毒性感染用户布局图：传染用户数最多的省份为：四川省、广东、贵州，各自占有率9.

5%、11.8%和7.5%

 

三、木马程序深入分析

 

用作赌钱app承载的范本信息内容：网络博彩app范本信息内容：
 

1、app运行后，利用浏览网站地址获得互联网ipv4地址信息内容并推送Message信息内容获得

ipv4地址信息内容网站地址：https://p******..info/c*****n?ie9=utf-8推送Message信息内容.
 

 

2、在主页面SplashUpdateActivity中对Message信息内容开展辨别处置，当达到ipv4地址是在

我国时，更换app背景图案并随意在线下载赌钱类app；到不符合条件时运行Mainapp，使用

app本身功能模块页面，为此来做到蒙骗用户的效果,当符合条件时，启用initNewNetWork方

式，更换app背景图案并随意在线下载特定的赌钱app当不符合条件时，运行满足app本身功

能模块的Activity利用downloadLayout方式 更换app背景图案.背景图片下载具体位置：

https://image.x******矿..info/u****9/201908/p****2.jpeg.

 

 

3、在initJumpStateJudge方式 中辨别是不是已安裝赌博app，若已安裝，则立即运行赌博

app，若并没有安裝，则在线下载赌博app并安裝储存在本地的SharedPreferences中的赌

博程序包名。

 

4、利用autoUpdate方式，在线下载赌博app，安装下载完的赌博app。

 

四、提议及手机卫士杀毒截屏

 

鹰盾安全反欺诈工作室提议：
 

1、不安裝来路不明的APP，此类APP很有可能会影响您的手机安全；
 

2、安裝华为手机管家，可准确无误合理的保障您的手机安全；
 

3、从正规平台安装下载所需要的APP，可合理防止木马软件；