近期百度安全实验室发现了一款可以避过手机安全软件查杀的新型手机病毒,AVPasser。该病毒会窃取用户的照片,短信,联系人和通话记录,并且在您不知情的情况下对您的通话进行录音,使用前置摄像头偷拍用户,并上传至远程服务器,对用户的隐私造成极大的威胁。该病毒的最大亮点是它会向用户请求超级用户权限,在获得后篡改多家手机安全软件的数据库文件,从而躲避安全软件的检测和监控。
该病毒会伪装成QQ ,系统更新程序或者手机安全软件等正常应用,在安装后会显示多个图标,如图一:
图一:安装后 图二:运行后
任意点击其中一个图标,都会启动该病毒的恶意代码,然后转至后台执行,并隐藏应用图标。
现在让我们看一看这个病毒程序的内容
注册的恶意Android组件:
恶意代码树结构:
通过逆向分析,我们可以得到如下的恶意组件交互图:
隐私窃取的行为不是我们今天分析的重点,今天主要介绍恶意软件如何通过修改安全软件数据逃避检测和监控。从代码可以看出,恶意软件作者对国内的流行安全软件做了逐一针对性的研究。
判断是否安全如下安全软件,如果安装则调用相应安全软件的躲避检测模块,逃避查杀:
篡改腾讯手机管家数据库的部分恶意代码
篡改LBE手机安全大师数据库的部分恶意代码
篡改金山手机毒霸数据库的部分恶意代码
篡改网秦安全数据库的部分恶意代码
篡改瑞星手机安全软件数据库的部分恶意代码