近日,安全管家独家截获一批以“挟持手机正常软件进行恶意推广”的病毒,传播手段如“惊天魔盗团”般尖端—“利用华丽的舞台作为掩护,于众目睽睽之下完成偷天换日的盗窃”。
该病毒通过捆绑到盗版知名游戏如博雅斗地主、宅男必杀、天天炸金花等软件进行传播,以“无限金币辅助”工具诱导用户安装后,便对用户手机内已安装的软件进行挟持,在被挟持的正常软件内进行恶意传播,推广具有恶意扣费、窃取隐私等严重恶意行为的软件。
这是继今年4月被爆出病毒挟持微信、微博乱弹广告后更严重和更恶劣的挟持行为和手段,“惊天魔盗团”如变魔术般让手机内所有软件为己所用,而用户则会以为是正常软件本身的提示或推荐,目前凭借第二代超级查杀引擎(SMD+AGC)的安全管家对此病毒已可精准查杀。
安全管家查杀盗版的“博雅斗地主”截图
据安全管家云安全中心分析,上一次被挟持的微信、微博等乱弹广告的病毒会检测判断手机中是否含有微信、新浪微博等应用,随即在这些正常应用界面中频繁弹出“精品推荐”等不同类别的广告。而此次“惊天魔盗团”则是全面对手机软件进行挟持,只要运行正常手机软件即会遭到劫持,神不知鬼不觉的进入到其设定的圈套,从而进行恶意传播,甚至恶意扣费的目的。
“惊天魔盗团”劫持手段简单分析:
当用户安装并运行捆绑该病毒的盗版软件后(以盗版“博雅斗地主”为例),直接安装其内置的一款软件名称是“无限金币辅助道具”的软件,而其实“无限辅助道具”软件是用来获取当前运行软件的图标和名称等一些信息,然后在该软件运行之前强制的伪造一个“**软件强烈推荐”的广告,点击该界面直接开始下载。
1) 运行盗版“博雅斗地主”软件后,直接强制弹出安装无限金币辅助工具:
直接强制弹出安装“无限金币辅助工具”
