暗影實驗室在日常檢測中發(fā)現了一個以“Coronavirus”命名的應用。而“Coronavirus”翻譯過來就是冠狀病毒的意思。威脅行為者通過將應用命名成與武漢冠狀病毒相關的名字有利于博取用戶的關注從而增加病毒傳播感染的機率。

從Coronavirus的行為上來看，該惡意軟件屬于木馬類病毒且具備較為詳盡的竊取用戶信息的功能，可定期從服務器更新加載惡意代碼。除此之外該病毒還具備使用Teamviewer實現遠程控制安卓設備的功能。

[[316522]]

圖1.1 應用圖標

Coronavirus的加載方式

通過兩次動態(tài)加載惡意代碼的方式來完成惡意行為的執(zhí)行：

(1)通過解析解密Asset目錄下的json文件加載惡意代碼

第一階段加載有效負荷：

請求開啟可訪問性服務(可以自動進行各種 UI 交互并模擬用戶點擊屏幕上的項目)

監(jiān)聽處理用戶點擊事件，以下部分行為是通過該項服務配合完成。

圖2-1 遍歷節(jié)點

從服務器下載惡意代碼并配置參數設置(作為第二階段惡意代碼動態(tài)調用的參數傳入。)

圖2-2 第二階段加載惡意代碼的參數配置

使用Teamviewer實現遠程控制安卓設備。

圖2-3 遠程控制安卓設備

(2)從服務器動態(tài)獲取惡意代碼動態(tài)加載調用，服務器地址：http://k**ll.ug/。

第二階段加載有效負荷：

圖2-4 從服務器獲取惡意代碼

(3)解析第一階段配置的參數信息(指令)執(zhí)行竊取用戶隱私信息、發(fā)送短信、呼叫轉移等操作，并將竊取的隱私信息上傳至服務器：http://k**ll.ug/。

表2-1 指令列表

Coronavirus自我保護手段

(1)通過加密字符串，無用函數調用來增加研究員逆向分析難度。

(2)將自身加入白名單對進程進行保活從而防止進程被系統(tǒng)殺死。

圖3-1 將應用加入白名單進行進程保活

(3)隱藏圖標，用戶無法通過常規(guī)方式卸載應用。當用戶通過進入應用詳細界面卸載應用時，打開應用列表界面使用戶無法進入應用詳細界面。

圖3-2 防止用戶卸載應用

(4)繞過google GMS認證。

圖3-3 繞過google GMS認證

總結

Coronavirus通過“冠狀病毒”安裝名稱以及圖標吸引用戶安裝使用，對用戶的隱私信息造成了極大的安全隱患。由于武漢冠狀病毒事件仍處于熱點階段，不少不法分子會利用該熱點事件制作惡意軟件、發(fā)送惡意郵件或短信目的在于侵害用戶隱私信息、財產。用戶應該提高雙重警惕，在免于遭受冠狀病毒對身心健康遭受侵害的同時，謹防該類惡意軟件對自身隱私財產造成損害。

安全建議

由于惡意軟件對自身進行了保護，用戶通過正常方式無法卸載?？刹扇∫韵路绞叫遁d。

• 將手機連接電腦，在控制端輸入命令：adb shell pm uninstall 包名。
• 進入手機/data/data目錄或/data/app目錄，卸載文件名帶有該應用包名的文件夾，應用將無法運用。
• 安裝好殺毒軟件，能有效識別已知病毒。

堅持去正規(guī)應用商店或官網下載軟件，謹慎從論壇或其它不正規(guī)的網站下載軟件。