【Android病毒分析报告】 - ZxtdPay 吸费恶魔

本文章由Jack_Jia编写，转载请注明出处。  
文章链接：http://blog.csdn.net/jiazhijun/article/details/11581543

作者：Jack_Jia    邮箱： [email protected]

 

    近期百度安全实验室发现一款“吸费恶魔“新病毒，该病毒目前已感染QQ浏览器、100tv播放器、富豪炸金花等大批流行应用。该病毒启动后，后台偷偷访问远端服务器获取扣费指令，并根据服务器端指令采用不同的扣费方式。目前该病毒的吸费方式有以下几种：

1、 后台私自发送短信订阅付费服务。
2、 通过WAP自动下载收费应用，并自动完成扣费流程。
3、 后台私自拨打收费IVR服务。

 

  另外在对该新病毒的分析过程中还发现，该病毒经常和MMarketPay、UpdtBot、ScrXo或SmsWorker等已知吸费类病毒同时出现在部分样本中,推测该新病毒和这些已知扣费病毒应该出自同一开发者。

 

一、病毒样本基本信息

 

    样本MD5 ：90f4647f01ee3472100121c43f3b09f2
    应用包名：com.tencent.mtt

 

二、病毒代码分析

 
1、首先该病毒在AndroidManifest.xml文件中注册大量系统频发类广播，以便恶意组件能够顺利运行。

 

 

http://seclab.safe.baidu.com/wp-content/uploads/wp-display-data.php?filename=1378893541zxtd_1.jpg&type=image%2Fjpeg&width=674&height=546
2、恶意代码树结构如下：


代码执行逻辑如下：
   1、系统广播（如接收到短信、开启启动、安装删除应用等）触发ZxtdRecver广播接收器执行。    2、ZxtdRecver判断PlatformService服务是否启动，如果未启动且距离上次执行服务时间超过3小时则启动该服务。
                3、 PlatformService服务启动一个新的线程执行C
       
      4、在新线程C中主要完成以下工作：
          注册短信接收器和成功发送短信的PengingIntent接收器
                

   

 

         该病毒首先通过修改APN接入点用于WAP扣费,该病毒能够自动解析WAP页面，自动完成整个WAP应用下载支付业务。

          http://seclab.safe.baidu.com/wp-content/uploads/wp-display-data.php?filename=1378893543zxtd_2.jpg&type=image%2Fjpeg&width=563&height=528

 
          该病毒访问服务器获取吸费指令，根据指令的不同，采用不同的吸费方式。

 

 

         http://seclab.safe.baidu.com/wp-content/uploads/wp-display-data.php?filename=1378893549zxtd_3.jpg&type=image%2Fjpeg&width=612&height=436

 

 

      对扣费结果和次数进行统计：

 

      http://seclab.safe.baidu.com/wp-content/uploads/wp-display-data.php?filename=1378893552zxtd_4.jpg&type=image%2Fjpeg&width=525&height=564