DABAF2592CBCD2EE007AA471DC279284_A.Payment.abkTech

样本名称：A.Payment.abkTech.ac

文件名称：DABAF2592CBCD2EE007AA471DC279284.apk

文件MD5：DABAF2592CBCD2EE007AA471DC279284

安装名称：Baidu Map

文件大小：5,230,048字节

发现时间：2013.09.04

影响系统：Android

传播途径：网络下载

危害属性：恶意扣费、隐私窃取、远程控制、资费消耗、流氓行为

预警级别：高

样本描述：

该程序是一款被插入病毒插件的地图查询工具软件。嵌入程序的木马插件主要行为是未经用户允许私自下载扣费应用，属于恶意扣费；后台自动窃取用户短信信息，属于隐私窃取；后台程序向控制端请求指令来执行相应操作（如：下载扣费应用），属于远程控制；未经用户允许，私自下载apk应用程序造成流量损失，属于资费消耗；私自安装应用和篡改APN，属于流氓行为。

病毒危害：

1.病毒在未经用户允许的情况下私自下载扣费应用，具有恶意扣费属性；

2.病毒在未经用户允许的情况下拦截用户短信并发送出去，具有隐私窃取属性；

3.木马在后台主动向服务端请求指令，再根据指令执行操作（下载付费应用和发送短信，可能有恶意订购），具有远程控制属性；

4.病毒私自下载apk应用程序（可能是恶意插件）造成流量损失，具有资费消耗属性；

5.病毒未经用户允许私自安装应用程序和篡改APN，具有流氓行为属性。

6.发送短信:有

7.恶意订购:可能有

样本运行原理：

1.运行界面如下：

行为及代码分析：

1.样本获取如下权限：

android.permission.RECEIVE_SMS，接收短信

android.permission.SEND_SMS，发送短信

android.permission.READ_SMS，读取短信内容

android.permission.WRITE_SMS，允许编写短信

android.permission.RECEIVE_BOOT_COMPLETED，允许程序开机自动运行

android.permission.INTERNET，访问网络连接，可能产生GPRS流量

android.permission.WRITE_EXTERNAL_STORAGE，允许程序写入外部存储，如SD卡上写文件

android.permission.MOUNT_UNMOUNT_FILESYSTEMS，挂载、反挂载外部文件系统

android.permission.READ_PHONE_STATE，访问电话状态

android.permission.WRITE_APN_SETTINGS，写入网络GPRS接入点设置

android.permission.ACCESS_WIFI_STATE，获取当前WiFi接入的状态以及WLAN热点的信息

android.permission.ACCESS_NETWORK_STATE，允许获取网络信息状态，如当前的网络连接是否有效

android.permission.VIBRATE，允许振动

android.permission.ACCESS_NETWORK_STATE，允许获取网络信息状态，如当前的网络连接是否有效

android.permission.ACCESS_COARSE_LOCATION，通过WiFi或移动基站的方式获取用户粗略的经纬度信息，定位精度大概误差在30~1500米

android.permission.INTERNET，访问网络连接，可能产生GPRS流量

android.permission.WRITE_APN_SETTINGS，写入网络GPRS接入点设置

android.permission.ACCESS_FINE_LOCATION，通过GPS芯片接收卫星的定位信息，定位精度达10米以内

android.permission.WAKE_LOCK，允许程序在手机屏幕关闭后后台进程仍然运行

android.permission.CHANGE_WIFI_STATE，改变WiFi状态

android.permission.ACCESS_WIFI_STATE，获取当前WiFi接入的状态以及WLAN热点的信息

android.permission.READ_PHONE_STATE，访问电话状态

android.permission.READ_CONTACTS，允许应用访问联系人通讯录信息

android.permission.CALL_PHONE，允许程序从非系统拨号器里输入电话号码

android.permission.READ_SMS，读取短信内容

android.permission.SEND_SMS，发送短信

android.permission.GET_TASKS，允许程序获取当前或最近运行的应用

android.permission.CAMERA，允许访问摄像头进行拍照

android.permission.RECORD_AUDIO，录制声音通过手机或耳机的麦克

android.permission.WRITE_EXTERNAL_STORAGE，允许程序写入外部存储，如SD卡上写文件

2.病毒私自登陆应用市场。

下载付费应用：

3.病毒未经用户允许，私自拦截用户短信。

窃取用户短信并屏蔽提示和阻断广播：

将短信内容发送出去：

删除木马跟踪号码的短信：

4.病毒未经用户允许从控制端下载指令，再根据指令执行操作。

从控制端获取指令：

根据指令执行操作：

5.病毒未经用户允许私自下载apk应用：

6.病毒未经用户允许私自安装应用和篡改APN。

私自安装应用程序：

私自篡改APN：

7.处置方案:

(1)网络侧：

阻断其传播代码：

建议封堵恶意URL：

http://119.147.23.195:8080

http://www.laohu100.com/adjfdg?dsafjd 

(2)终端侧：

1.您可以登录中国移动应用商场(Mobile Market)首页 http://mm.10086.cn搜索“移动手机卫士”，下载并安装免费软件“移动手机卫士”后更新至最新病毒库，随后进行恶意软件查杀即可。

2.您也可以通过正规网站下载安装其他主流手机恶意软件查杀工具。

3.依次点击---设置---应用程序---应用程序管理，选中“Baidu Map”，选择‘卸载’，点击‘是’。