近期内鹰盾安全防护反欺诈工作室遇到了一个网上赌博的木马程序BCgames。该木马程序
采用移形换影多种手段,利用“安全防护的”母包在线下载赌钱app,进而做到蒙骗各大应用商
城、防护系统的效果。该木马程序第一步会辨别用户是不是为国内用户,假如是国内用户则会
随意安装下载特定的赌钱app,赌钱app从云备份安裝,不用发布各大应用商店,避开安全防
护公司的杀毒;要不是国内用户则使用app本身的功能模块页面,开展超强掩藏。
APP木马程序特征:
app本身用作承载是安全防护的,能够 简单绕开各大应用商店的安全检测策略,有利于app发
布;利用承载从云备份网络博彩app,用户和检测公司不容易遇到,提升赌钱app的生存时间;
运行安全防护的承载app便会运行赌钱app,增加了与用户使用的机率,隐性提升赌钱app的用
户数量,很有可能会使大量的用户采用,遭受移形换影影响的关键APP传染目录。
布;利用承载从云备份网络博彩app,用户和检测公司不容易遇到,提升赌钱app的生存时间;
运行安全防护的承载app便会运行赌钱app,增加了与用户使用的机率,隐性提升赌钱app的用
户数量,很有可能会使大量的用户采用,遭受移形换影影响的关键APP传染目录。
二、木马程序影响区域
BCgames病毒性感染用户趋向:伴随着严厉打击强度提升,传染用户数量呈降低趋向BCgam
es病毒性感染用户布局图:传染用户数最多的省份为:四川省、广东、贵州,各自占有率9.
5%、11.8%和7.5%
es病毒性感染用户布局图:传染用户数最多的省份为:四川省、广东、贵州,各自占有率9.
5%、11.8%和7.5%
三、木马程序深入分析
用作赌钱app承载的范本信息内容:网络博彩app范本信息内容:
1、app运行后,利用浏览网站地址获得互联网ipv4地址信息内容并推送Message信息内容获得
ipv4地址信息内容网站地址:https://p******..info/c*****n?ie9=utf-8推送Message信息内容.
ipv4地址信息内容网站地址:https://p******..info/c*****n?ie9=utf-8推送Message信息内容.
2、在主页面SplashUpdateActivity中对Message信息内容开展辨别处置,当达到ipv4地址是在
我国时,更换app背景图案并随意在线下载赌钱类app;到不符合条件时运行Mainapp,使用
app本身功能模块页面,为此来做到蒙骗用户的效果,当符合条件时,启用initNewNetWork方
式,更换app背景图案并随意在线下载特定的赌钱app当不符合条件时,运行满足app本身功
能模块的Activity利用downloadLayout方式 更换app背景图案.背景图片下载具体位置:
https://image.x******矿..info/u****9/201908/p****2.jpeg.
我国时,更换app背景图案并随意在线下载赌钱类app;到不符合条件时运行Mainapp,使用
app本身功能模块页面,为此来做到蒙骗用户的效果,当符合条件时,启用initNewNetWork方
式,更换app背景图案并随意在线下载特定的赌钱app当不符合条件时,运行满足app本身功
能模块的Activity利用downloadLayout方式 更换app背景图案.背景图片下载具体位置:
https://image.x******矿..info/u****9/201908/p****2.jpeg.
3、在initJumpStateJudge方式 中辨别是不是已安裝赌博app,若已安裝,则立即运行赌博
app,若并没有安裝,则在线下载赌博app并安裝储存在本地的SharedPreferences中的赌
博程序包名。
app,若并没有安裝,则在线下载赌博app并安裝储存在本地的SharedPreferences中的赌
博程序包名。
4、利用autoUpdate方式,在线下载赌博app,安装下载完的赌博app。
四、提议及手机卫士杀毒截屏
鹰盾安全反欺诈工作室提议:
1、不安裝来路不明的APP,此类APP很有可能会影响您的手机安全;
2、安裝华为手机管家,可准确无误合理的保障您的手机安全;
3、从正规平台安装下载所需要的APP,可合理防止木马软件;