不要让你的手机成为了恶意软件的温床！

　　对服务器下发的插件分析，发现存在恶意行为。经过抓包后处理，我们发现程序经过解密最终会生成2个Jar包，如图2-19所示：

▲图2-19生成的恶意Jar包

　　该jar包在运行后会主动破坏系统中存在的主防，并且会重启手机，目前可以确认会被破坏主防的杀软有LBE安全大师以及360的主动防御。

　　2.3 主控地址功能

　　2.4 主控地址追踪

　　我们只对其服务器域名进行溯源，通过域名的whois查询，获取到的大部分信息都被隐藏，包括注册信息，联系人，公司信息，其中只有一个域名信息较为完整，如图2-20所示：

▲图2-20 域名溯源

　　根据基本信息我们大致知道注册人的基本情况，根据邮箱查找相关信息，查看qq的情况，判断是被盗号过后注册的邮箱，如图2-21，图2-22所示：

▲图2-21qq基本信息

▲图2-22邮箱相关的百度贴吧号

　　三、防范及处置建议

　　建议用户提高警觉性，使用软件请到官网下载。到应用商店进行下载正版软件，避免从论坛等下载软件，可以有效的减少该类病毒的侵害。关注”暗影实验室”公众号，获取最新实时移动安全状态，避免给您造成损失和危害。

　　为防止病毒变种，用户发现已经安装此病毒的，可以请专业人员分析此病毒。

　　安全需要做到防患于未然，可以使用恒安嘉新公司的APP威胁检测与态势分析平台进行分析对Android样本提取信息并进行关联分析和检测;

　　用户发现感染手机病毒软件之后，可以向“12321网络不良与垃圾信息举报受理中心”或“中国反网络病毒联盟”进行举报，使病毒软件能够第一时间被查杀和拦截。

　　声明

　　本报告内容不代表任何企业或任何机构的观点，仅是作者及所在团队作为技术爱好者在工作之余做的一些尝试性研究和经验分享。

　　本报告虽是基于技术团队认为可靠的信息撰写，团队力求但不保证该信息的准确性和完整性，读者也不应该认为该信息是准确和完整的。这是主要是因为如下一些理由(包括但不限于)：

　　第一，互联网的数据无处不在，我们所能接触到的是极为有限的抽样样本，本身不具备完整性。

　　第二，不同的技术方法获取的数据有一定的局限性。比如，终端agent获取的数据只能涵盖已部署终端的范围;爬虫技术的时效性和完整性受限于爬虫的规模和能力;网络侧探针技术受限部署探针的节点数量并只能对活跃的行为进行感知。

　　第三，即使已经纳入到分析范围的样本，也会由于技术团队规则和算法的选择造成统计结论偏差。

　　第四，技术团队所得出的结论仅仅反映其数字本身，进一步主观得出优劣性的、排名性的、结论性的观点是危险的。因为安全事件往往伴随着业务的良性增长，开放程度，法律法规以及黑色产业链的演进等多方面的因素，是一个复杂的生态问题。

　　此外，团队不保证文中观点或陈述不会发生任何变更，在不同时期，团队可发出与本报告所载资料、意见及推测不一致的报告。团队会适时更新相关的研究，但可能会因某些规定而无法做到。

　　最后，即使未经作者的书面授权许可，任何人也可以引用、转载以及向第三方传播。但希望同时能附上完整的原文或至少原始出处。这样的考虑在于：第一，避免选择性的部分引用造成的不必要的误解;其次，避免某些内容的错误经原作者发现并及时调整后没有体现在转载的文中。

（编辑：温州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!