打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家

一、背景

近期腾讯反诈骗实验室发现了一款主要以广大学生为主的社交软件“青春期”。该软件打着青年社交的噱头,背地里窃取用户隐私信息,包括电话号码、短信、通讯录等重要隐私信息。这些被窃取的隐私信息,可能被售卖给各个黑产团伙,然后黑产团伙通过这些详细的信息有针对性的对学生进行电信诈骗。

图片[1]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

这款以青年社交为噱头的隐私窃取类病毒被我们命名为“YoungCircle”。该病毒软件把握了当代年轻人的心理,以社交+色情的方式吸引用户群体下载安装使用,当用户打开软件的那一刻,用户的隐私信息就在不知不觉中被盗走。当用户注册成功进入软件后,软件显示空白内容,打着年轻人社交的名头,吸引欺骗用户下载安装。

软件内容:图片[2]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科图片[3]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

该病毒以社交+色情吸引学生为主的用户使用,窃取用户隐私信息,可能通过向黑产团伙贩卖隐私牟利,黑产团伙再通过这些隐私信息向学生实施精准诈骗。

图片[4]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

病毒软件启动后会先让用户注册登录,并且在后台开始窃取用户隐私信息,当用户登录后显示空白内容,由此可以看出该软件就是一个隐私窃取的病毒软件,无实际功能。

图片[5]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

二、病毒信息

受感染用户主要分布在云南省和广东省,分别占比12.26%和9.69%。

图片[6]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

病毒多以交友类软件命名,吸引广大青年用户安装使用。

图片[7]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

病毒后台服务器登录地址:

http://www.******.ml/admin_login.shtml

图片[8]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

http://***.**.**.***/admin/common/login.shtml

图片[9]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

三、病毒详细分析

病毒信息

软件名

青春期

包名

com.stx.openeyes

证书

证书md5:02fff3d8c737b0bbd8b5f258836c4dc7

Fsha1

87d924a83ad8fb03ca09c0044b4129f5981109d9

软件图标

 

1、软件启动后,在主界面SpashActivity中动态申请包括位置、短信等权限。图片[10]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

2、成功获取权限后,启动NewActivity。图片[11]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

3、在NewActivity中窃取包括手机号、短信、地理位置、通讯录等隐私信息。

1)窃取手机通讯录

a.查询通讯录内容

图片[12]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

b.获取通讯录

图片[13]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

2)获取地理位置信息

图片[14]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

3)获取短信箱内容

图片[15]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

4)向远程服务器上传窃取到的隐私内容

a.上传通讯录内容

图片[16]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

b.上传短信箱内容

图片[17]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

c.上传地理位置信息

图片[18]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

4、病毒涉及的C&C服务器地址:

涉及的C&C服务器地址

http://cs.*******.com/api/uploads/apisms

http://tx.***********.cn/api/uploads/apisms

http://*******.cn/api/uploads/apisms

http://cctv.*******.cn/api/uploads/apisms

http://***.***.***.***/api/uploads/apisms

http://t.*****.cn/api/uploads/apisms

http://tx2.********.top/api/uploads/apisms

http://tx.********.top/api/uploads/apisms

http://cc.*******.com/api/uploads/apisms

http://**.**.***.***/api/uploads/apisms

http://**.***.*.**/api/uploads/apisms

http://xintxl.*******.cn/api/uploads/apisms

http://vip. *******.md.ci/api/uploads/apisms

http://**.***.1.177/api/uploads/apisms

http://www. *******.cn/api/uploads/apisms

http://**.***.155.58/api/uploads/apisms

http:// *******.top/api/uploads/apisms

http://txl. *******.md.ci:443/api/uploads/apisms

http://***.***.220.124/api/uploads/apisms

http://***.***.220.90/api/uploads/apisms

http://www. *******.cn/api/uploads/apisms

http://**.**.132.163/api/uploads/api

http://**.**.73.108/api/uploads/apisms

http:// *******.club/api/uploads/apisms

http://app1. *******.cn/api/uploads/apisms

http://www. *******.cn/api/uploads/apisms

http://txl. *******.cn/api/uploads/apisms

http://www. *******.cn/api/uploads/apisms

http://***.***.220.53/api/uploads/apisms

http://***.***.71.74/api/uploads/apisms

http://app4. *******.cn/api/uploads/apisms

http:// *******.net/api/uploads/apisms

http:// *******.club/api/uploads/apimap

http://app6. *******.cn/api/uploads/apisms

http://bbt. *******.com/api/uploads/apisms

http:// *******.top/api/uploads/apisms

http://**.**.67.124/api/uploads/api

http://***.**.33.193/api/uploads/apisms

http://app2. *******.cn/api/uploads/apisms

http://www. *******.ml/api/uploads/apisms

http://tx1. *******.top/api/uploads/apisms

http://app7. *******.cn/api/uploads/apisms

http:// *******.ml/api/uploads/apisms

http:// *******.md.ci/api/uploads/apisms

http://***.**.33.232/api/uploads/apisms

http://cctz. *******.cn/api/uploads/apisms

http://8888. *******.com/api/uploads/apisms

http://txl. *******.mobi/api/uploads/apisms

http://**.***.169.127/api/uploads/apisms

http://app3. *******.cn/api/uploads/apisms

http:// *******.tk/api/uploads/apisms

http://tx. *******.cn/api/uploads/apisms

http://www. *******.tk/api/uploads/apisms

http://tx. *******.cn/api/uploads/apisms

http://www. *******.tk/api/uploads/apisms

http://app. *******.cn/api/uploads/apisms

http://txl. *******.top/api/uploads/apisms

http://txl.*******.cn/api/uploads/apisms

http://xt.*******.cn/api/uploads/apisms

http://www.*******.com/api/uploads/apisms

手机管家查杀截图及建议图片[19]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科图片[20]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科

腾讯反诈骗实验室建议:

1、不安装来源不明的应用,该类应用可能会危害您的手机安全;

2、安装腾讯手机管家,可准确有效的保护您的手机安全;

3、从正规渠道下载安装所需的应用,可有效避免病毒软件。

来源:freebuf.com 2020-07-31 11:52:47 by: 腾讯手机管家

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论