一、背景
近期腾讯反诈骗实验室发现了一款主要以广大学生为主的社交软件“青春期”。该软件打着青年社交的噱头,背地里窃取用户隐私信息,包括电话号码、短信、通讯录等重要隐私信息。这些被窃取的隐私信息,可能被售卖给各个黑产团伙,然后黑产团伙通过这些详细的信息有针对性的对学生进行电信诈骗。
![图片[1]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596165501.png)
这款以青年社交为噱头的隐私窃取类病毒被我们命名为“YoungCircle”。该病毒软件把握了当代年轻人的心理,以社交+色情的方式吸引用户群体下载安装使用,当用户打开软件的那一刻,用户的隐私信息就在不知不觉中被盗走。当用户注册成功进入软件后,软件显示空白内容,打着年轻人社交的名头,吸引欺骗用户下载安装。
软件内容:![图片[2]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596165609.jpg)
![图片[3]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596165566.jpg)
该病毒以社交+色情吸引学生为主的用户使用,窃取用户隐私信息,可能通过向黑产团伙贩卖隐私牟利,黑产团伙再通过这些隐私信息向学生实施精准诈骗。
![图片[4]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596165747.png)
病毒软件启动后会先让用户注册登录,并且在后台开始窃取用户隐私信息,当用户登录后显示空白内容,由此可以看出该软件就是一个隐私窃取的病毒软件,无实际功能。
![图片[5]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596165779.png)
二、病毒信息
受感染用户主要分布在云南省和广东省,分别占比12.26%和9.69%。
![图片[6]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596165865.png)
病毒多以交友类软件命名,吸引广大青年用户安装使用。
![图片[7]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596165892.jpg)
病毒后台服务器登录地址:
![图片[8]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596165961.png)
![图片[9]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596165988.png)
三、病毒详细分析
|
病毒信息 |
|
|
软件名 |
青春期 |
|
包名 |
com.stx.openeyes |
|
证书 |
证书md5:02fff3d8c737b0bbd8b5f258836c4dc7 |
|
Fsha1 |
87d924a83ad8fb03ca09c0044b4129f5981109d9 |
|
软件图标 |
|
1、软件启动后,在主界面SpashActivity中动态申请包括位置、短信等权限。![图片[10]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596166506.png)
2、成功获取权限后,启动NewActivity。![图片[11]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596166548.png)
3、在NewActivity中窃取包括手机号、短信、地理位置、通讯录等隐私信息。
1)窃取手机通讯录
a.查询通讯录内容
![图片[12]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596166631.png)
b.获取通讯录
![图片[13]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596166775.png)
2)获取地理位置信息
![图片[14]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596166829.png)
3)获取短信箱内容
![图片[15]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596166843.png)
4)向远程服务器上传窃取到的隐私内容
a.上传通讯录内容
![图片[16]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596166856.png)
b.上传短信箱内容
![图片[17]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596166867.png)
c.上传地理位置信息
![图片[18]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596166879.png)
4、病毒涉及的C&C服务器地址:
|
涉及的C&C服务器地址 |
|
http://cs.*******.com/api/uploads/apisms |
|
http://tx.***********.cn/api/uploads/apisms |
|
http://*******.cn/api/uploads/apisms |
|
http://cctv.*******.cn/api/uploads/apisms |
|
http://***.***.***.***/api/uploads/apisms |
|
http://t.*****.cn/api/uploads/apisms |
|
http://tx2.********.top/api/uploads/apisms |
|
http://tx.********.top/api/uploads/apisms |
|
http://cc.*******.com/api/uploads/apisms |
|
http://**.**.***.***/api/uploads/apisms |
|
http://**.***.*.**/api/uploads/apisms |
|
http://xintxl.*******.cn/api/uploads/apisms |
|
http://vip. *******.md.ci/api/uploads/apisms |
|
http://**.***.1.177/api/uploads/apisms |
|
http://www. *******.cn/api/uploads/apisms |
|
http://**.***.155.58/api/uploads/apisms |
|
http:// *******.top/api/uploads/apisms |
|
http://txl. *******.md.ci:443/api/uploads/apisms |
|
http://***.***.220.124/api/uploads/apisms |
|
http://***.***.220.90/api/uploads/apisms |
|
http://www. *******.cn/api/uploads/apisms |
|
http://**.**.132.163/api/uploads/api |
|
http://**.**.73.108/api/uploads/apisms |
|
http:// *******.club/api/uploads/apisms |
|
http://app1. *******.cn/api/uploads/apisms |
|
http://www. *******.cn/api/uploads/apisms |
|
http://txl. *******.cn/api/uploads/apisms |
|
http://www. *******.cn/api/uploads/apisms |
|
http://***.***.220.53/api/uploads/apisms |
|
http://***.***.71.74/api/uploads/apisms |
|
http://app4. *******.cn/api/uploads/apisms |
|
http:// *******.net/api/uploads/apisms |
|
http:// *******.club/api/uploads/apimap |
|
http://app6. *******.cn/api/uploads/apisms |
|
http://bbt. *******.com/api/uploads/apisms |
|
http:// *******.top/api/uploads/apisms |
|
http://**.**.67.124/api/uploads/api |
|
http://***.**.33.193/api/uploads/apisms |
|
http://app2. *******.cn/api/uploads/apisms |
|
http://www. *******.ml/api/uploads/apisms |
|
http://tx1. *******.top/api/uploads/apisms |
|
http://app7. *******.cn/api/uploads/apisms |
|
http:// *******.ml/api/uploads/apisms |
|
http:// *******.md.ci/api/uploads/apisms |
|
http://***.**.33.232/api/uploads/apisms |
|
http://cctz. *******.cn/api/uploads/apisms |
|
http://8888. *******.com/api/uploads/apisms |
|
http://txl. *******.mobi/api/uploads/apisms |
|
http://**.***.169.127/api/uploads/apisms |
|
http://app3. *******.cn/api/uploads/apisms |
|
http:// *******.tk/api/uploads/apisms |
|
http://tx. *******.cn/api/uploads/apisms |
|
http://www. *******.tk/api/uploads/apisms |
|
http://tx. *******.cn/api/uploads/apisms |
|
http://www. *******.tk/api/uploads/apisms |
|
http://app. *******.cn/api/uploads/apisms |
|
http://txl. *******.top/api/uploads/apisms |
|
http://txl.*******.cn/api/uploads/apisms |
|
http://xt.*******.cn/api/uploads/apisms |
|
http://www.*******.com/api/uploads/apisms |
手机管家查杀截图及建议![图片[19]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596167058.png)
![图片[20]-打着社交口号的隐私窃取病毒“YoungCircle” – 作者:腾讯手机管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200731/1596167076.png)
腾讯反诈骗实验室建议:
1、不安装来源不明的应用,该类应用可能会危害您的手机安全;
2、安装腾讯手机管家,可准确有效的保护您的手机安全;
3、从正规渠道下载安装所需的应用,可有效避免病毒软件。
来源:freebuf.com 2020-07-31 11:52:47 by: 腾讯手机管家
请登录后发表评论
注册