AppPortal “恶意行为云端无限扩展”.docxVIP

百度安全实验室最近发现了一款“应用传送门”病毒，该病毒架构设计简单灵活，完全实现了恶意代码的云端控制、插件化和动态可扩展。该病毒伪装成系统服务，且没有桌面图标，不易发现。该病毒能够从服务端获取恶意插件列表信息。依次下载恶意插件并调用恶意插件代码，从目前监测到的恶意插件来看，下载的插件存在以下恶意行为：1、? 静默下载安装其它恶意程序。2、? 静默下载安装其它推广应用。由于恶意插件下载列表由云端控制，一旦用户感染该病毒，有可能会在不知不觉的情况下被安装其它恶意软件及推广软件，消耗用户大量的数据流量。无限可能，后果不可估量，严重威胁到用户的隐私及账户安全。安装该病毒约24小时后，经测试，会下载大量推广软件，如下图所示：?接下来我们对该病毒进行详细的分析：?1、恶意代码结构如下：2.、注册监听大量系统广播，以便触发恶意代码?3、在对整个恶意代码进行分析后，我们得出了以下恶意代码的运行逻辑图首先当设备开机、解锁等情况发生时，恶意软件将请求服务器获取恶意插件信息，并把恶意插件信息存储到本地数据库中，恶意软件会定时读取数据库插件信息，下载指定恶意插件并运行恶意插件代码。下图为抓取到数据库文件，内容如下：?恶意软件将会从相应的URL下载JAR文件，然后通过DexClassLoader动态调用相应的恶意插件。接下来我们分别对云端返回的两个恶意插件进行分析。 （1）??????恶意插件一MD5=DD