病毒特征

程序名：相册图片

包名：com.net.cn

程序大小：323K(331,603字节)

手机硬体：MI3/中国移动

安全软体：LBE安全大师/Zjdroid

hook插件

分析过程1.打开即发送简讯/邮件

程序安装完成还未打开，LBE安全大师即检测其为病毒，并分析出具体的危害，在主界面上弹出明显的提示，如下图所示：

刚刚打开程序，就会发现LBE安全法师提示的其静默发送简讯的通知，提示里面具体的显示了收件人号码和简讯内容，简讯内容为：」6-」+手机IMEI
。如下图：

收件人的手机号码在Consesdrqwe31ants类的pnoneNumber字符段中：

拿到帐号密码以后，可以登录163邮箱试试：

发送简讯的内容在Asseyfgsdw12ets类的getInstallFlag方法中，如下：

当用户激活设备管理器后，该程序会在setting设备管理器列表隐藏，应用程式激活成设备管理器后，可以实现锁屏、擦除用户数据等功能，并且无法使用常规的卸载方式对其卸载。

Android在实现设备管理器时，需要再AndroidManifest.xml中註册一个广播接收者，代码如下：

当用户点击「激活」以后，就会弹出一个误导式的Dialog如下图：

5.Log日志暴露监控行为

总结、查杀方式

这款应用通过用户激活设备管理器
，打开一个后台Services窃取用户的设备信息、简讯、通话记录、联系人等隐私，通过简讯、邮件的形式发送出来，从而获取大量的数据。已知收件人号码为：18317050340;邮箱地址：sha13049367853@vip.163.com，密码：qq123123。稍稍人肉了一下：