一.App劫持病毒介绍

App劫持是指执行流程被重定向，又可分为Activity劫持、安装劫持、流量劫持、函数执行劫持等。本文将对近期利用Acticity劫持和安装劫持的病毒进行分析。

Activity劫持是指当启动某个窗口组件时，被恶意应用探知，若该窗口界面是恶意程序预设的攻击对象，恶意应用将启动自己仿冒的界面覆盖原界面，用户在毫无察觉的情况下输入登录信息，恶意程序在把获取的数据返回给服务端。

以MazarBOT间谍木马为例，该类木马有一下几个特点：

• 伪装成系统短信应用，启动后请求激活设备管理权限，随后隐藏图标；
• 利用Tor与C&C控制中心进行匿名通信，抵御流量分析；
• C&C控制中心下发指令进行手机控制、update html、以及信息收集；
• 通过服务器动态获取htmlData，然后实施界面劫持，获取用户账号信息；

以下是C&C控制中心指令列表：

我们发现该木马能接受并处理一套完整的C&C控制指令，并且使用Tor进行匿名网络通信，使得流量数据的来源和目的地不是一条路径直接相连，增加对攻击者身份反溯的难度。结下来我们将详细分析该木马界面劫持过程。

2.2 界面劫持过程分析：

下图是后台服务对顶层Acticity监控过程，若是待劫持应用则启动InjDialog进行劫持。getTop函数做了代码兼容性处理，5.0以上的设备木马也可以获取顶层Acticity的包名。

三.应用安装劫持病毒分析

3.1安装劫持病毒介绍

intent实施攻击，包括两种手段，一种是卸载删除掉真正安装的apk，替换为攻击者伪造的应用；另外一种是借用用户正在安装的这个消息，悄悄的安装自己推广的其他应用。这个过程就像你平时喝的“六个核桃”，某天你居然喝到“七个核桃”。

该应用是一款名为”FlashLight”的应用，程序包名：com.gouq.light,应用图标如下：

.LightTiService 由LightService启动，该服务会调用动态加载包里的triggerTimerService接口方法，完成对以安装应用的删除、当前设备信息上传、从服务器下载待安装应用；

下图安装劫持过程，通过监听应用的安装和更新，实施关联的其他应用的静默安装。

上图可以知道此恶意应用借用安装或更新intent，安装预设的关联应用，这样在安装完毕后用户并不清楚哪个是刚真正安装的应用，这样增加了推广应用点击运行的几率。

四．怎么有效防治App劫持或安全防护建议

作为一名移动应用开发者，要防御APP被界面劫持，最简单的方法是在登录窗口等关键Activity的onPause方法中检测最前端Activity应用是不是自身或者是系统应用。

当然，术业有专攻，专业的事情交给专业的人来做。阿里聚安全旗下产品安全组件SDK具有安全签名、安全加密、安全存储、模拟器检测、反调试、反注入、反Activity劫持等功能。 开发者只需要简单集成安全组件SDK就可以有效解决上述登录窗口被木马病毒劫持的问题，从而帮助用户和企业减少损失。

安装阿里钱盾保护应用免受App劫持木马威胁。

作者：逆巴@阿里移动安全，更多技术文章，请点击

为你带来MAX SecurityMAX病毒清理大师app下载，通过MAX病毒清理大师app即可享受全面专业的手机杀毒体验。

MAX安全，先进而又免费的安卓手机病毒处理软件！您可以使用病毒监测，，手机急速和手机清理的功能，使你的的手机状态达到最优

★病毒监测 - 安全与高效

保护你的设备远离恶意软件，木马病毒等。作为一个有规模的病毒监测工具，MAX安全可以自动索淼下载的应用，或者恶意文件。一键点击病毒扫描是很有效的。

★应用锁 - 全面保护隐私

阻止未经授权的人打开应用，全面保护隐私信息。应用锁可以帮你锁一些隐私性质的应用，Whats App，Facebook，Instagram，Snapchat，Email，Message，Gallery，Contact …没有密码的情况下，没有人可以使用它们。

流量监测 - 防止流量用超

流量监测功能可以精确的分析你每天的流量使用并且保证不让其用超。当你的流量用超时会给你提醒，通过提醒方式来有效地保护你的流量不会用超。

手机加速 - 手机使用起来会比之前快很多

在主屏幕上使用一键加速，可以使使你的手机至少提速50％！且花费几秒钟时间，就可以释放很多内存，并且杀死在後台运行的程序

垃圾清理 - 释放更多的存储空间

垃圾清理功能可以通过移除系统产生的无用文件以及一些占据内存的应用，据估算，日常这些文件和应用占据了你手机至少1GB的存储空间

超强省电充电保护 - 延长你的电池使用时间

当你的电量很低的时候会提醒你，可以延长50分钟左右。当你充电的时候，会自动清理後台耗电的应用，防止手机过热或者充电过满。

伪装崩溃，使你的应用拥有双重保护，避免不必要的尴尬。

- 优化了整体性能，使软件运行更加流畅。

不久前，谷歌一口气下架了 Google Play 应用商店中的13款 App。原因是云安全公司Lookout向谷歌报告：这些App里含有臭名昭著的“大脑测试程序（Brain Test app）”病毒。

这个病毒会随着App一起被安装到手机上。然后就开始了“惨绝人寰”的破坏过程：

1、不管用户有没有打开带毒的App，只要安装完成20秒之后，病毒都会自动引爆“定时炸弹”。

2、每2小时病毒都会收集一次用户的信息，八小时之后把信息汇总上传到黑客控制的服务器。

3、如果你的手机已经root，那么病毒会执行下一步；如果你的手机没有root，它会帮你root然后执行下一步。

4、由于系统已经越狱，病毒会把自己埋在系统底层，就算你恢复出厂设置，它都会依然存在。黑客可以利用这个后门拿到你的手机几乎所有的权限。

其实，这个木马病毒早就被发现，最初是搭载在名为“大脑测试”的解谜游戏中，2015年8月，发现异常的谷歌已经把这款App下架处理，不过没过几天，黑客又用新的开发者资料重新上传了App，只不过这一次他们用了百度的开发工具来混淆代码。从黑客对度娘的青睐来看，有可能他们就是中国人。

【被感染的App列表】

以上就是这13款App的列表。可以看出这些带毒的App大多数是游戏，而且下载量都很高，评分也很好。这是为什么呢？因为一旦安装了任何一个带毒App，病毒都可以在用户毫不知情的情况下把其他12款App安装到手机上。（具体感受参考百度全家桶被塞到手机里的感觉）

粗略算来，这些恶意程序已经至少被下载了500000次，估计20万到100万的安卓用户受到了影响。由此看来，估计是黑客们对App的下载量打了保票，才使得诸多游戏开发者愿意和他们合作。

鉴于病毒采取了“深入骨髓”的感染办法，如果下载了以上的几款App，建议你把“病入膏肓”的手机进行刷机。

雷锋网原创文章，未经授权禁止转载。详情见。