本文章由Jack_Jia编写，转载请注明出处。  
文章链接：http://blog.csdn.net/jiazhijun/article/details/11772379

作者：Jack_Jia    邮箱： 309zhijun@163.com

近期百度安全实验室发现一款ZooTiger新病毒，该病毒集吸费、隐私窃取、恶意推广功能与一身，该病毒目前已感染大批第三方应用市场内的“功夫熊猫3”、“小猪爱打架”等大批流行游戏。该病毒集多种恶意行为于一身，堪称Android病毒的“功夫熊猫”。

目前该病毒样本在各市场已有10万以上的下载量，以下是某第三方市场样本截图：

该病毒启动后，后台偷偷访问远端服务器获取指令，并根据服务器端指令完成以下恶意行为：

恶意推广方面：

1、后台自动下载应用提示安装。

2、插入广告短信到您的短信收件箱。

3、打开指定的应用。

4、打开浏览器访问指定网页。

隐私窃取方面：

1、上传您的联系人信息到服务器。

恶意吸费方面：

1、后台私自发送短信订阅付费服务。

2、通过WAP订阅扣费服务并自动完成扣费流程。

目前该病毒的远端指令服务器有以下几个，客户端随机选择指令服务器获取指令：

http://sdk.gmdrm.com/sdk/{ actiontype}

http://sdk.meply.net/sdk/{ actiontype}

http://sdk.lvply.com/sdk/{ actiontype}

http://sdk.plygm.com/sdk/{ actiontype}

http://sdk.ilvgm.com/sdk/{ actiontype}

下面对该病毒样本进行简单分析：

样本MD5 ：a783fbcfc82db8912475f11184b27a59

应用包名：com.play.kfpanda

恶意代码结构树：

（披了一层貌似SDK的外衣）

1、首先该病毒在AndroidManifest.xml文件注册大量系统频发广播，以便恶意组件能够顺利运行。

3、当zoo.tiger.sdk.core.StateReceiver接收到开机、网络连接变化等系统广播后启动CoreService和PayService两个关键服务。

4、CoreService服务完成以下恶意行为：

后台自动下载应用提示安装。

插入广告短信到您的短信收件箱。

打开指定的应用，通过浏览器访问指定网页。

上传您的联系人信息到服务器

5、PayService服务完成以下吸费恶意行为

通过SMS订阅SP服务、WAP访问扣费服务

【Android病毒分析报告】 - ZooTiger “集恶意推广、隐私窃取、恶意吸费于一体”的更多相关文章

1. 【Android病毒分析报告】- 手机支付毒王“银行悍匪”的前世今生

   from://http://blog.csdn.net/androidsecurity/article/details/18984165 2014年1月8日,央视曝光了一款名为“银行悍匪”的手机银行木 ...

2. 【Android病毒分析报告】 - ZxtdPay 吸费恶魔

   本文章由Jack_Jia编写,转载请注明出处.  文章链接:http://blog.csdn.net/jiazhijun/article/details/11581543 作者:Jack_Jia    ...

3. [FreeBuff]*.Miner.gbq挖矿病毒分析报告

   *.Miner.gbq挖矿病毒分析报告 https://www.freebuf.com/articles/network/196594.html 竟然还有端口转发... 这哥们.. 江民安全 ...

4. 一份通过IPC$和lpk.dll感染方式的病毒分析报告

   样本来自52pojie论坛,从事过两年渗透开始学病毒分析后看到IPC$真是再熟悉不过. 1．样本概况 1.1 样本信息 病毒名称:3601.exe MD5值:96043b8dcc7a977b16a28 ...

5. Virut.ce-感染型病毒分析报告

   1.样本概况 病毒名称 Virus.Win32.Virut.ce MD5 6A500B42FC27CC5546079138370C492F 文件大小 131 KB (134,144 字节) 壳信息 无 ...

6. 【Windows编程】大量病毒分析报告辅助工具编写

   解决重复劳动 是否在分析单个病毒时很爽,分析N个病毒写报告很机械的情况.. 1)样本下载多个文件,这些文件写报告时要加上这些文件的MD5 2)写报告时明明是17个MD5,实际样本有18个的情况.不知道 ...

7. Android木马病毒com.schemedroid的分析报告

   某安全公司移动病毒分析报告的面试题目,该病毒样本的代码量比较大,最大的分析障碍是该病毒样本的类名称和类方法名称以及类成员变量的名称被混淆为无法辨认的特殊字符,每个被分析的类中所有的字符串都被加密处理了 ...

8. Android病毒家族及行为（一）

   1病毒名称:a.remote.GingerMaste中文名:病毒家族:GingerMast病毒类别:远程控制恶意行为:获取root权限,同时连接远端服务器,在其指令控制下静默下载其它恶意软件,给用户手 ...

9. PE文件附加数据感染之Worm.Win32.Agent.ayd病毒分析

   一.基本信息 样本名称:1q8JRgwDeGMofs.exe 病毒名称:Worm.Win32.Agent.ayd 文件大小:165384 字节 文件MD5:7EF5D0028997CB7DD3484A ...

随机推荐

1. 面试题目——《CC150》排序与查找

   面试题11.1:给定两个排序后的数组A和B,其中A的末端有足够的缓冲空间容纳B.编写一个方法,将B合并入A并排序. package cc150.sort_search; public class Me ...

2. 哈夫曼(Huffman)编码

   哈夫曼编码(Huffman Coding)是一种非常经典的编码方式,属于可变字长编码(VLC)的一种,通过构造带权路径长度最小的最优二叉树以达到数据压缩的目的.哈弗曼编码实现起来也非常简单,在实际的笔 ...

3. [转载]如何查看某个查询使用了多少TempDB空间

   http://www.cnblogs.com/CareySon/p/3910337.html 通过下面脚本可以查看某个查询实用的TempDB的空间. 第一步是查询出当下TempDB实用空间是多少, 第 ...

4. Javascript兑现图片预加载【回调函数，多张图片】 (转载)

   Javascript实现图片预加载[回调函数,多张图片] 使用JS实现一组图片动画效果或者使用HTML5 Canvas渲染一系列图片等案例中,需要图片全部加载完成方可运行动画效果.此时程序中就会涉及多 ...

5. 思维导图软件比较-FREEMIND,XMIND,Mindjet Mindmanager

   https://www.zhihu.com/question/22094277

6. js希尔排序

   function shellSort (arr) { var len = arr.length; var increment = Math.floor(len/2); while(increment! ...

7. Brackets编辑器使用

   常用快捷操作 Ctrl + b 当选中一个文本时,离该文本最近的相同的文本会被高亮显示,这样,相同的2个文本就全部获得了焦点,可以同时更改高亮文本.(对,只会找寻最近的且只找到一个就不找了!惰性查找. ...

8. zendframework配置篇

   1. 重写配置 httpd.conf配置修改 LoadModule rewrite_module modules/mod_rewrite.so <Directory "D:\PHPPr ...

9. 如何理解CMDB的套路

   CMDB成功和失败,关于掌握的CMDB套路的多与少.深与浅! 前几天在对一个项目进行总结,编写CMDB的配置管理规范,发现还是有很多套路,本文就是老王总结的CMDB套路! 套路1:CMDB名字应该改一 ...

10. LeetCode解题报告—— Linked List Cycle II &amp&semi; Reverse Words in a String &amp&semi; Fraction to Recurring Decimal

    1. Linked List Cycle II Given a linked list, return the node where the cycle begins. If there is no ...