近期”SINE安全试验室”在平时检验中发觉了一款掩藏软件FlashPlayer的恶意程序，这款手机软件不但根据检验手机模拟器以避免沙盒进行解析，还根据检验安裝在移动终端上的电脑杀毒软件，并根据启用可浏览性API阻拦客户和移动终端中间的全部互动以避免本身被杀除。运作后该运用根据隐藏图标，激话设备管理器来避免本身被卸载掉。根据远程控制下达控制代码在后台管理实行一系列获得客户手机联系人、短消息、文档、相片等信息内容的实际操作。并根据给客户手机联系人发送信息的方法散播恶意程序。运用在散播以前对散播目标的手机号开展了配对，从而可看得出它是一场有特殊人群进攻主题活动。

二、运作步骤

子程序根据动态性函数调用载入恶意程序。为了防止检验和解析，执行程序最先会检验本身软件环境，检验根据后，恶意程序被激话。主控芯片端根据远程控制下达命令，实行搜集并提交客户手机联系人，短消息，文档、相片等信息内容，阻拦客户短消息并删掉短消息数据库查询数据信息、根据短消息向客户手机联系人散播恶意程序等实际操作。服务器安全维护技巧有哪些2020年设置方案分享。

三、技术性基本原理

（1）自身安全防护

该恶意程序为了防止检验和解析，开展几个安全防护。

主恶意程序类被装包，主类型的程序处理并不会有源文件中。以致于明细中界定的类只能一个主类型的程序处理。如图所示程序流程起动类并不会有源文件中，这也将造成程序运行由于找不着类而没法动态性调式。进而提升静态数据解析难度系数。

程序流程将关键的恶意程序装包，并根据动态性函数调用来动态性载入恶意程序。网络安全公司的解决方案（从网站到服务器） 2020年最新版。

程序流程起动后，恶意程序的合理负荷最先会查验手机模拟器，以避免沙盒进行解析。它会查验不一样类型的手机模拟器，包含QEMU、Genymotion、BlueStacks和Bignox。

假如恶意程序明确它没有手机模拟器上运作，它会实行附加的查验以保证本身不容易被检验到。APP渗透测试中如何挖掘漏洞，对APP进行安全加固的安全文章分享

检测客户的实际操作个人行为如页面点击事件，文本框聚焦点恶性事件。针对每一次互动，恶意程序将查验在线生成器是不是归属于防病毒软件目录的包。假如是该运用将会应用姿势GLOBAL_ACTION_BACK启用全局性涵数performGlobalAction，它相当于按住机器设备上的倒退按键，进而撤销防病毒软件程序运行的开启。

图3-6检测客户实际操作个人行为

（2）环境监测

该运用在实行故意个人行为以前会检验是不是打开设备管理器、safetyNet服务项目（google出示的检测仪器软件环境的一个服务项目）是不是被激话，该运用是不是默认设置短信应用程序流程并获得客户基本资料上传入网络服务器，这有利于操纵端界定在移动终端检验到它以前，能够实行什么实际操作。

获得客户机器设备详细资料。

获得所在位置信息内容。

获得用户账户信息内容。

将检验結果及其获得的客户信息提交至网络服务器：http://***/api/v2/get.tp框架。

（3）远程操作

检验进行以后，恶意程序就会被激话。根据远程控制下达指令实行故意实际操作。远程服务器：http://***/api/v2/set_state.tp框架。

根据远程操作，恶意程序大会上传客户照片、文档、短消息、手机联系人、管理人员电話等信息内容，且它还根据手机联系人目录散播恶意程序。下列是一部分命令所相匹配的实际操作。