“套餐窃贼”感染用户已接近70万(希望广大手机用户下载应用需擦亮眼睛）

3G玩家俱乐部 · 发表于 2013-2-27 22:05:30

一款名为“套餐窃贼”的手机病毒正伪装成手机QQ、搜狐新闻、搜狗号码通等，在国内的安卓手机上迅速蔓延，数据显示，目前该病毒的感染用户已接近70万。

据介绍，安卓手机在感染“套餐窃贼”病毒以后，会自动联网，接受黑客指令，对外发布垃圾短信，让手机变成“垃圾广告发送器”，从而产生话费和电量的双重损失。同时“套餐窃贼”还能窃取用户的联系人名字和号码、遥控用户的手机下载更多的恶意程序，轻则消耗流量、电量，重则导致反复死机、系统崩溃。

“套餐窃贼” 病毒病毒分析结果

一、病毒简介
“套餐窃贼” 病毒（a.expense.Extension.a），以插包形式存在，嵌入到航班查询、手机QQ、搜狐新闻、搜狗号码通、软件商店、百度云智能终端、应用宝等应用中。病毒安装后有图标，当程序启动后，会后台联网根据服务器指令，静默下载APK 及指令表，根据指令表的不同指令，可远程控制手机打电话，发短信，拦截指定号码的电话和短信，删除联系人，结束其他软件进程及上次用户隐私信息等，对用户手机造成巨大安全威胁。
该病毒的制作者熟悉运营商套餐作业机制，受害用户

基本上是运营商短信套餐包月用户，用户感染后，病毒利用用户的套餐中的短信闲置资源进行发送垃圾短信，从而为广告主服务，获取大额收益，侵犯用户和运营商的利益。
该病毒于2012 年9月21 日开始在全国出现，预计2013 年1 月后集中爆发。从当前监控到的数据推测，全国感染用户数超过62 万。从与以往发现的任何一个病毒都不同，套餐窃贼具有全面的控制能力和极强的隐身能力，其自身也具有联网升级的能力，还可以通过接收其他加密应用来不断扩展自身能力。从技术上讲，这个病毒进化到了一个新的高度，是里程碑式

的。从已知的病毒散播渠道来看，已经侵入了多个国内知名的传播渠道，感染的都是排名前列的应用，用户很容易被误导下载，导致更多更快的传播，危害巨大。目并且该病毒还具备自身控制能力，即可定向进行运营商、省份的控制，目前受影响的省份有宁夏和广西。
该病毒目前还在增加指令表，截止今天发现病毒已发生变化。
二、  技术分析
病毒安装后有图标，当程序启动后，会后台联网。根据服务器指令，静默下载APK 及指令表。与以往发现的病毒不同的是，下
的。从已知的病毒散播渠道来看，已经侵入了多个国内知名的传播渠道，感染的都是排名前列的应用，用户很容易被误导下载，导致更多更快的传播，危害巨大。目并且该病毒还具备自身控制能力，即可定向进行运营商、省份的控制，目前受影响的省份有宁夏和广西。
该病毒目前还在增加指令表，截止今天发现病毒已发生变化。
二、  技术分析
病毒安装后有图标，当程序启动后，会后台联网。根据服务器指令，静默下载APK 及指令表。与以往发现的病毒不同的是，下载的APK 经过加密处理，并且通过直接调用DEX 文件方式

，动态加载运行，根据指令表的不同指令，可远程控制手机打电话，发短信，拦截指定号码的电话和短信，删除联系人，结束其他软件进程及上次用户隐私信息等，功能十分全面，对用户手机造成巨大安全威胁
  此外，该病毒会后台下载并加载恶意可执行程序及配置文件，加大了它自身功能的丰富性及实现灵活性。该病毒会实时联网获取恶意代码的最新版本，并在后代隐密加载。同时，服务器会下发恶意指令，触发多种恶意行为。
病毒工作流程：
1. 手机联网获取注册码及注册地址号码（加密）；
2. 发送注册码至号码
，动态加载运行，根据指令表的不同指令，可远程控制手机打电话，发短信，拦截指定号码的电话和短信，删除联系人，结束其他软件进程及上次用户隐私信息等，功能十分全面，对用户手机造成巨大安全威胁
  此外，该病毒会后台下载并加载恶意可执行程序及配置文件，加大了它自身功能的丰富性及实现灵活性。该病毒会实时联网获取恶意代码的最新版本，并在后代隐密加载。同时，服务器会下发恶意指令，触发多种恶意行为。
病毒工作流程：
1. 手机联网获取注册码及注册地址号码（加密）；
2. 发送注册码至注册地址号码；
3. 手机联网获取可执行程序（加密）；
4. 后台加载可执行恶意代码；
5. 手机联网获取恶意指令（加密）；
6. 根据获取指令完成相应的恶意行为。

1. 联网情况
http:// gw.hicmcc.com
http:// file.hicmcc.com/appupgrade/15/Extension-v1.5.apk
http:// file.hicmcc.com/appupgrade/15/release.xml
2. 样本分析
1) 静态分析
声明的Permission，其中包括联网，短信，联系人等权限。
uses-permission:'android.permission.RECEIVE_BOOT_COMPLETED'
uses-permission:'android.permission.REBOOT'
uses-permission:'android.permission.WAKE_LOCK'
uses-permission:'android.permission.DEVICE_POWER'

rmission.DISABLE_KEYGUARD'
uses-permission:'android.permission.READ_PHONE_STATE'
uses-permission:'android.permission.CALL_PHONE'
uses-permission:'android.permission.PROCESS_OUTGOING_CALLS'
uses-permission:'android.permission.RECEIVE_SMS'
uses-permission:'android.permission.SEND_SMS'
uses-permission:'android.permission.READ_SMS'
uses-permission:'android.permission.RECEIVE_MMS'
uses-permission:'android.permission.READ_CONTACTS'
uses-permission:'android.permission.WRITE_CONTACTS'
uses-permission:'android.permission.CHANGE_NETWORK_STATE'
uses-permission:'android.permission.ACCESS_NETWORK_STATE'
uses-permission:'android.permission.ACCESS_WIFI_STATE' uses-permission:'android.permissio

n.CHANGE_WIFI_STATE'
uses-permission:'android.permission.INTERNET'
uses-permission:'android.permission.ACCESS_COARSE_LOCATION'
uses-permission:'android.permission.ACCESS_MOCK_LOCATION'
uses-permission:'android.permission.ACCESS_FINE_LOCATION'
uses-permission:'android.permission.ACCESS_LOCATION_EXTRA_COMMANDS'
uses-permission:'android.permission.CONTROL_LOCATION_UPDATES'
uses-permission:'android.permission.UPDATE_DEVICE_STATS'
uses-permission:'android.permission.WRITE_EXTERNAL_STORAGE'
uses-permission:'android.permission.WRITE_SETTINGS'
uses-permission:'android.permission.INJECT_EVENTS'
uses-permission:'android.permission.KILL_BACKGROUND_PROCESSES'

sion.SET_ALWAYS_FINISH'
uses-permission:'android.permission.BROADCAST_PACKAGE_REMOVED'
uses-permission:'android.permission.BROADCAST_STICKY'
uses-permission:'android.permission.ADD_SYSTEM_SERVICE'
uses-permission:'android.permission.DELETE_PACKAGES'
uses-permission:'android.permission.INSTALL_PACKAGES'
uses-permission:'android.permission.RESTART_PACKAGES'
uses-permission:'android.permission.READ_INPUT_STATE'
uses-permission:'android.permission.READ_OWNER_DATA'
uses-permission:'android.permission.SYSTEM_ALERT_WINDOW'
uses-permission:'android.permission.RECEIVE_WAP_PUSH'
uses-permission:'android.permission.SET_PREFERRED_APPLICATIONS'

_FOREGROUND'
uses-permission:'android.permission.SIGNAL_PERSISTENT_PROCESSES'
2) 包含的恶意指令表
指令目的
BlackScreenCommand 强制黑屏
ComposedCommand 待分析
InterceptCallInCommand 挂断指定拨入的电话
InterceptCallOutCommand 挂断指定拨出的电话
InterceptSMSInCommand 拦截指定接收到的短信
InterceptSMSOutCommand 拦截指定发出的短信
OpenBrowserCommand 用浏览器打开指定网页
PhoneCallCommand 拨打指定电话
ReportAlarmCommand 向服务器发送出错信息
RequestUpgradeCommand 获取更新
RestartAppCommand 结束指定软件进程
RetrieveTaskCommand 重新获取指令
SendSMSCommand 发送指定短信
SetAppsIns

talledCommand 上传用户所安装的软件列表
SetCallHistoryCommand 上传用户通话记录
SetContactListCommand 上传用户通讯录