据大量用户反馈,自主安装的UC浏览器在手机中被无故删除,重新下载安装后仍被卸载,这一事件引起了UC的极大重视,并在微博进一步发布了“恶意卸载”的声明,在行业引起了极大反响。腾讯手机管家病毒检测技术团队**时间找到了病毒样本,并对这个命名为“暗箭刺客”的手机病毒逻辑进行了详细分析和深度解密。
手机病毒:a.system.appkiller.[暗箭刺客]
主要危害:强制删除UC浏览器、百度搜索等大量知名应用,具有极强的恶意攻击性。
病毒主要逻辑说明:
病毒申请ROOT权限,监听用户解锁或网络变化启动恶意服务,联网获取需要下载app信息(包含哪些是可以删除的字段标识),同时创建相关应用数据库,数据库中包含大量推广应用信息,同时维护了一个可删除应用的数据表,病毒会根据预先设定的时间去发起联网,联网后检测哪些应用可以删除,执行删除应用操作,同时与其它跨进程包有通信联系。
该病毒详细流程如下:
主要是通过ROM内置、部分下载的方式植入用户手机系统,伪装成系统文件“下载管理”,并在后台进一步作案。
1 病毒申请ROOT权限的行为,以获得*高系统关联权限
2 病毒监听用户手机终端解锁或网络变化,启动恶意服务
3 联网获取需要下载的app应用信息
4 分析代码发现了该病毒联网的加密域名,通过解密可得到域名地址如下:
http://do.sy***y.com/jarjs
http://101.64.***.136:8085/jarjs
http://115.238.***.136:8085/jarjs
并进一步发现与该病毒发生远程通信的加密可疑包包名com.android.mic、远程通信服务net.omigo.android.server。
5 病毒会创建和维护相关的app应用数据库
先是联网获取数据库数据信息,
进一步创建app应用数据表
同时维护可删除app应用的数据表
6 病毒代码包含删除系统目录下文件的指令,包括mount -o remount,rw /system /system、rm 、chmod 644等部分加密指令
7 进一步搜索数据库删除指定应用
8 病毒执行删除数据库中指定app应用的操作
由于病毒危害极大,影响深远,腾讯手机管家技术团队迅速反应并已录入病毒库,遇到该类病毒的用户,建议安装腾讯手机管家查杀该病毒,确保手机**。
公安机关备案号:
