偽裝成流行的應(yīng)用程序是手機病毒的常見手段。對于沒有實際功能的病毒，細心的用戶很快就會發(fā)現(xiàn)安裝了偽造的應(yīng)用程序，但這次病毒使用了新的手法。

最近，獵豹安全研究所和安川安安全團隊通過偽裝成人氣應(yīng)用程序，捕捉到了偽裝成用戶手機的病毒——HideIcon病毒。這種病毒為了偽裝得更加真實，在運行后隱藏了自己的圖標(biāo)，并在以后應(yīng)用更新，發(fā)送了下載偽裝的正版應(yīng)用程序的信息。

在用戶安裝正版應(yīng)用、放松警惕的同時，實際病毒已經(jīng)開始在后臺悄悄運行。在成功獲取用戶信任之后，病毒會進行推送各種廣告、下載其他惡意插件的行為，長期消耗用戶的流量資費，對用戶的個人隱私造成嚴(yán)重威脅。

一、感染情況分析

根據(jù)獵豹安全實驗室提供的數(shù)據(jù)統(tǒng)計分析， HideIcon病毒在全球感染的地域較為廣泛，南亞、東南亞、歐洲、北美洲、南美洲均有分布。感染量Top10的國家依次是印度、印尼、俄羅斯、菲律賓、墨西哥、美國、伊朗、加拿大、馬來西亞、泰國，其中南亞及東南亞國家有一半之多，且占據(jù)感染量第一、二位。可見南亞及東南亞地區(qū)是HideIcon病毒感染的重災(zāi)區(qū)。

此外，根據(jù)數(shù)據(jù)統(tǒng)計可知，在2017.5.1至5.24期間，HideIcon病毒的感染量整體呈現(xiàn)平穩(wěn)增長趨勢，從五月初的140萬左右的感染量增長至五月底的150萬左右的感染量，尤其是在五月下旬，出現(xiàn)了一次感染量增長的“小高峰”，應(yīng)當(dāng)引起一定的警惕。

根據(jù)獵豹安全實驗室捕獲的病毒樣本統(tǒng)計，目前有包括Pokemon Go，WhatsApp在內(nèi)的6款流行應(yīng)用被該款病毒偽裝，對應(yīng)的圖標(biāo)和應(yīng)用名稱如下：

二、惡意行為分析

2.1 惡意行為流程圖

2.2 惡意行為詳細分析

Step1：上傳設(shè)備信息，隱藏圖標(biāo)

HideIcon病毒啟動后首先上傳Android_ID、IMEI、MAC、已安裝應(yīng)用列表等移動設(shè)備隱私信息，其目標(biāo)url為。

HideIcon病毒上傳的加密隱私信息內(nèi)容如下：

將上述加密信息解密后信息標(biāo)簽和內(nèi)容如下，其中包含了安卓版本信息、MAC地址等等。

在上傳設(shè)備隱私信息后，進行隱藏圖標(biāo)的操作：

Step2：誘導(dǎo)用戶安裝所偽裝的正版應(yīng)用

首先，HideIcon病毒會在后臺開啟服務(wù)：

其次，將assets下的正版應(yīng)用文件（下圖展示的為9APPs url）復(fù)制到SD卡并且開啟一個新線程，并以應(yīng)用更新的名義不斷提示并要求用戶安裝正版應(yīng)用。

在用戶安裝正版應(yīng)用并使用正常的時候，往往會放松警惕，而這時HideIcon病毒卻一直在后臺運行并陸續(xù)進行著各種惡意行為。

Step3：聯(lián)網(wǎng)獲取遠程指令，實施遠程控制

HideIcon病毒監(jiān)聽到正版應(yīng)用安裝完成后，就開始正式實施惡意行為。其主要手段是通過聯(lián)網(wǎng)從指定鏈接中獲取遠程指令，并根據(jù)返回值進行一系列的惡意行為（指定鏈接：）。返回值和對應(yīng)的惡意行為如下所示：

獲取指令并根據(jù)指令進行操作：

顯示廣告：

下載插件：

之后不斷請求安裝插件：

下載的插件和病毒程序本身的行為非常相似，都包含聯(lián)網(wǎng)獲取指令代碼，后續(xù)執(zhí)行廣告和激活設(shè)備管理器等行為。插件偽裝成Google Service，內(nèi)置多種廣告sdk：

激活設(shè)備管理器的代碼如下所示，是否激活也是通過url返回值控制：

url返回值中包含一些社交應(yīng)用包名，打開這些社交軟件時會彈出激活設(shè)備管理器：

設(shè)備管理器界面顯示的信息也是從url返回值中獲得的：

Step4：推送廣告

HideIcon病毒會不斷查詢獲取當(dāng)前的棧頂activity：

然后判斷當(dāng)前棧頂activity是否屬于系統(tǒng)應(yīng)用或遠控指令返回的知名社交應(yīng)用對象，如果不是則加載廣告：

加載的廣告將以懸浮窗或者全屏的形式置頂。

三、溯源分析

經(jīng)分析，該病毒相關(guān)的一系列URL對應(yīng)的ip地址為越南和新加坡。此外根據(jù)病毒應(yīng)用簽名及時間，可以猜測作者是越南人，位于河內(nèi)，姓張。

同時，根據(jù)簽名信息和代碼結(jié)構(gòu)，一些關(guān)聯(lián)樣本也被找到，其hash如下：

以上樣本從2015年4月開始出現(xiàn)，初期的樣本主要是偽裝為系統(tǒng)應(yīng)用并展示廣告，但是隨著時間的推移，該家族的樣本也進行了一些技術(shù)升級，例如獲取設(shè)備管理器、引導(dǎo)用戶安裝正版應(yīng)用、遠程下載插件，同時根據(jù)上傳信息來投放廣告等行為，進一步加大了殺毒軟件以及用戶對該病毒的判別難度，也足以看出HideIcon病毒有相對較長的傳播周期。同時，其相關(guān)的ip主要是在越南和新加坡，結(jié)合前文的感染國家分布，可以推測該病毒的目標(biāo)人群主要在東南亞地區(qū)。

四、安全建議

針對HideIcon病毒，獵豹安全大師和集成安天AVL移動反病毒引擎的安全產(chǎn)品已經(jīng)實現(xiàn)全面查殺。獵豹安全實驗室和安天移動安全團隊提醒您：

1、建議從正規(guī)應(yīng)用市場下載應(yīng)用，不要從不知名網(wǎng)站、論壇、應(yīng)用市場等非正規(guī)渠道下載應(yīng)用； 　　2、培養(yǎng)良好的安全意識，使用獵豹安全大師或集成了安天AVL引擎的安全產(chǎn)品進行病毒檢測，以更好識別、抵御惡意應(yīng)用； 　　3、當(dāng)手機中莫名出現(xiàn)彈窗廣告等異常情況時，請及時使用安全產(chǎn)品掃描手機并對異常軟件進行卸載處理。

附錄