揭开山寨应用的伪装面具（病毒分析）

近期，安天AVL移动安全团队发现了一种恶意扣费木马程序，该木马程序被重打包到Android程序兼容包下，进而进行一系列的恶意扣费操作。据悉，目前已有美颜相机、Google Search、天翼导航等众多知名APP受到波及

1.包结构分析

以下以篡改了正版美颜相机的山寨程序为例： 该山寨程序安装后的图标如下图所示，与正版的美颜相机图标一样。

运行时界面如下图所示，该山寨程序包含正常美颜相机相关的功能，表面上看与正版应用没有区别。

分析样本的静态结构，该山寨应用与正版应用的区别如下： 1.捆绑恶意包结构到android.support.v4包结构下。 2.将正版程序的入口程序篡改到捆绑包结构。

2.流程分析图

恶意程序运行的整体流程图如下图所示：

3.恶意功能

【资费损耗】

• 程序运行后会在后台无用户提示的情况下发送注册短信
  

• 在后台无用户提示的情况下发送订阅短信

• 对回执短信进行拦截并自动回复

【隐私泄露】

• 上传用户手机IMEI、IMSI固件信息

• 上传用户手机号码

• 上传用户安装的app列表

• 上传用户发送订购短信的日志信息

详细分析内容，请点击原文链接。http://blog.avlyun.com/2015/11/2546/mask/

阅读更多技术文章，请点击 http://blog.avlyun.com/