一、導讀
手機早已成為人們生活中不可或缺的一部分，在娛樂，移動支付，社交等方面都起到舉足輕重的作用，可以說在當今社會手機就是人們重要的“生存”工具之一。但是在享受時代帶給我們的福利的同時，一些“不懷好意”的人們也伺機而動，用各種非法的手段從眾多的網民身上謀取利潤，因為這些人的存在，嚴重的損害了普通人的利益，無論是去年爆發的勒索病毒，還是今年的銀行木馬，這些安全事件都應讓我們警醒，在互聯網時代我們還有很多事要做，我們的安全道路任重而道遠。
二、病毒威脅介紹

2.1　一不小心你就中招
近日，平臺監測到一款新型病毒，經過安全人員研究，發現其偽造成正常內存清理軟件，在點擊后隱藏圖標，轉入后臺運行，上傳用戶信息，下載執行惡意插件，對用戶信息安全造成極大威脅，為了保護廣大網民的安全，對此病毒和服務器地址進行了上報處理，在根源上斷絕病毒的傳播。
2.2　你的手機如何成為了病毒的溫床？
該病毒仿照正常手機清理軟件，混淆視聽，欺騙用戶下載，并且在運行后隱藏圖標轉而后臺運行。應用運行狀態，如圖2-1，圖2-2所示：
2.2.1　隱藏圖標
通過包管理器設置圖片隱藏，如圖2-3所示：

2.2.2　軟件后臺駐留運行
通過接受廣播啟動服務，如圖2-4，圖2-5所示：
在Android版本5.0以上該樣本則采用了JobSchedule機制進行后臺進程保活，如圖2-6所示：
2.2.3　上傳用戶數據
病毒在用戶不知情的情況下發送數據包，私自獲取大量用戶設備信息，并且發送到指定url，如圖2-7所示：
上傳數據包中的用戶設備信息內容（解密后結果），如圖2-9所示：
2.2.4　與遠程服務器交互
病毒運行過后會向主控服務器發送數據包，然后根據主控返回的結果執行下一步的行動，如圖2-10，圖2-11所示：
抓包得到服務器返回的結果，我們可以大致判斷此時病毒主控服務開啟，但廣告推送的功能屬于關閉狀態。
結果表明服務正常運行，病毒向URL發送請求，確認下載插件的地址，下載插件，運行插件如圖2-12，圖2-13，圖2-14，圖2-15所示：
2.2.5　利用插件化技術隱秘執行
按照常理病毒需要找準時機運行這些插件，但并不是直接在Android系統層直接運行。這里用到了一個近比較流行的插件化技術。在這個樣本中，病毒作者利用了一款開源的多開應用框架VirtualApp，運用此框架可以使得插件的作用效果大大增強，因為此框架使的插件實際是在Android系統與外部應用的中間層運行，插件的運行受系統本身的限制將會減少很多，近似于root的環境給病毒創造了絕妙的溫床，而虛擬機的環境又使得靜態的病毒檢測方法無法生效，提高了查殺難度，結合 VirtualApp的病毒確實可以肆無忌憚做很多事。
VirtualAPP實現程序內部運行大致遵循以下流程，首先代理程序運行所需系統各種服務，使運行程序和VA為合為一體，其次修正應用數據，保存原有數據，然后數據整合在VA中代理運行，終交于系統執行。
2.2.6　破壞殺軟主動防御
對服務器下發的插件分析，發現存在惡意行為。經過抓包后處理，我們發現程序經過解密終會生成2個Jar包，如圖2-19所示：
該jar包在運行后會主動破壞系統中存在的主防，并且會重啟手機，目前可以確認會被破壞主防的殺軟有LBE安全大師以及360的主動防御。
2.3　主控地址功能
主控地址    功能
http://api.*.top:9000/api/channel/cfg?**    確定整個服務的功能狀態。
http://www.*are/cr/sv/getGoFile?name=goplaysdk_statistics_s250.dat    獲取插件下載地址。
http://hc**day:8082/spdumread/service/rtLogRecord    作為獲取設備信息的地址。
http://alo*.com/app_logs    基座中包含的友盟統計模塊。
http://hc.s**op/gpfile/pfiles/    惡意插件的下載地址。
2.4　主控地址追蹤
我們只對其服務器域名進行溯源，通過域名的whois查詢，獲取到的大部分信息都被隱藏，包括注冊信息，聯系人，公司信息，其中只有一個域名信息較為完整，如圖2-20所示：
根據基本信息我們大致知道注冊人的基本情況，根據郵箱查找相關信息，查看qq的情況，判斷是被盜號過后注冊的郵箱，如圖2-21，圖2-22所示：
三、防范及處置建議
建議用戶提高警覺性，使用軟件請到官網下載。到應用商店進行下載正版軟件，避免從論壇等下載軟件，可以有效的減少該類病毒的侵害。關注”暗影實驗室”公眾號，獲取新實時移動安全狀態，避免給您造成損失和危害。
為防止病毒變種，用戶發現已經安裝此病毒的，可以請專業人員分析此病毒。
安需要做到防患于未然，可以使用恒安嘉新公司的APP威脅檢測與態勢分析平臺進行分析對Android樣本提取信息并進行關聯分析和檢測；
用戶發現感染手機病毒軟件之后，可以向“12321網絡不良與垃圾信息舉報受理中心”或“反網絡病毒聯盟”進行舉報，使病毒軟件能夠時間被查殺和攔截。
聲明
本報告內容不代表任何企業或任何機構的觀點，僅是作者及所在團隊作為技術愛好者在工作之余做的一些嘗試性研究和經驗分享。
本報告雖是基于技術團隊認為可靠的信息撰寫，團隊力求但不保證該信息的準確性和完整性，讀者也不應該認為該信息是準確和完整的。這是主要是因為如下一些理由（包括但不限于）：
，互聯網的數據無處不在，我們所能接觸到的是極為有限的抽樣樣本，本身不具備完整性。
第二，不同的技術方法獲取的數據有一定的局限性。比如，終端agent獲取的數據只能涵蓋已部署終端的范圍；爬蟲技術的時效性和完整性受限于爬蟲的規模和能力；網絡側探針技術受限部署探針的節點數量并只能對活躍的行為進行感知。
第三，即使已經納入到分析范圍的樣本，也會由于技術團隊規則和算法的選擇造成統計結論偏差。
第四，技術團隊所得出的結論僅僅反映其數字本身，進一步主觀得出優劣性的、排名性的、結論性的觀點是危險的。因為安全事件往往伴隨著業務的良性增長，開放程度，法律法規以及黑色產業鏈的演進等多方面的因素，是一個復雜的生態問題。
此外，團隊不保證文中觀點或陳述不會發生任何變更，在不同時期，團隊可發出與本報告所載資料、意見及推測不一致的報告。團隊會適時更新相關的研究，但可能會因某些規定而無法做到。
后，即使未經作者的書面授權許可，任何人也可以引用、轉載以及向第三方傳播。但希望同時能附上完整的原文或至少原始出處。這樣的考慮在于：，避免選擇性的部分引用造成的不必要的誤解；其次，避免某些內容的錯誤經原作者發現并及時調整后沒有體現在轉載的文中。