暗度陈仓病毒伪装成正常样本欺骗用户

2019年8月26日，恒安嘉新暗影实验室监测到与暗度陈仓的典故极其类似的一个病毒，样本名为换机精灵，伪装成正常样本进而欺骗用户，并在用户不知情的情况下执行各项恶意操作。其从表面看为一款为用户提供备份手机信息的应用软件，但在实际运行中它获取了大量权限，这些权限申请起来极为勉强，同时会私自获取用户软件以及硬件信息进而判断手机内的安全软件情况，留下远程控制的暗门用来下载恶意APK，同时模拟用户点击浏览器，达到刷流量的目的。该软件在首次安装时会提示该应用申请的哪些权限，点击安装即为同意这些权限，该应用申请了大量不正常系统权限，包括读写收发消息，读写内存数据，读取系统以及软件日志信息，日历，录音，蓝牙，指纹等等百余种权限。安装之后，从表面看并无明显恶意行为，但在后台抓取数据时发现该软件已经将手机的软硬件信息回传给攻击者。该应用在发送手机内软件信息的同时，还会通过相关网址返回一些主流杀毒软件的包名进而判读手机是否有安全软件信息，进而安装APK。软件在下载之后并没有调用安卓系统自带的安装管理器询问用户进行安装，而是通过调用libhuanji.so所对应的java层代码，通过InstallPackage函数在用户不知情的情况下进行安装。