自杀式“埋雷”，微信埋雷专家病毒分析

前言

近日，平台监测到一种新型病毒，安装名称为”微信埋雷专家”，经过安全人员分析研究，发现该病毒伪装成可以操控微信红包埋雷的外挂软件，诱骗用户安装并开启危险权限，病毒程序会将用户微信支付所需要的账号信息（自动打开微信并找到微信账号信息界面截图并上传ftp），登陆微信所需要的验证码（读取短信并上传），微信支付密码（诱骗用户输入并上传ftp），导致用户的财产损失。

首先我们先了解下微信红包埋雷是什么意思？

埋雷是微信新出来的一种红包玩法，在增加出现的雷数量外还附带一个自动抢自己尾巴包的功能，自己尾包是雷的话就不会抢，不是雷的话就自己抢。

举个例子：

先发红包比如10元的包发10个，让尾号1为雷。

别人抢完之后，位数有1，就要给你发10元，不限人数。

微信红包埋雷本来只是朋友家人之间用于娱乐的小手段，不法分子利用少部分人贪图便宜的不良心理，传播该病毒达成其盗取他人财产的目的。

一、自杀式“埋雷”病毒概述

1.1 病毒应用

经研究发现其同源头同类型的病毒名称还有微信排雷专家、qq排雷专家、qq埋雷专家、6k抢红包王、qq抢红包王、微信闲家牛牛、qq闲家牛牛、棋牌专家、棋牌牛牛、麻将专家、微信秒抢专家。qq秒抢专家等。

1.2 病毒行为

窃取用户支付密码、微信信息、短信等，上传服务器

欺骗用户开启权限，导致无法被正常卸载

锁屏勒索

1.3 病毒实施盗取信息整体流程

病毒安装后诱骗用户在其主界面输入微信支付密码并开启检测窗口权限，然后分别窃取用户手机上微信的账号信息和短信信息，将窃取的信息上传至网上架设好的ftp平台上，造成用户的钱财损失，如图1-1病毒整理运行流程所示。

图1-1 病毒整理运行流程

二、自杀式“埋雷”病毒行为分析

2.1 病毒安装图标及主界面

图2-1 病毒图表及运行截图

病毒运行时为了欺骗用户编写了假装正在运算的假象，如图2-2 计算模式假象所示：

图2-2 计算模式假象

然而事实上病毒程序显示正在计算中的所有内容都是事先已经写入程序的图片（如图2-3 内置假象所示），由此可证明该病毒所显示的功能都是用于欺骗用户以达到其不可告人的目的。

图2-3 内置假象

2.2 无法被正常卸载

当点击主界面上开启埋雷服务按键的时候，病毒程序会要求用户开启一定的权限。（如图2-4 请求权限所示）

图2-4 请求权限

病毒程序里检测开启权限的代码(如图2-5 请求权限代码所示)：

图2-5 请求权限代码

当用户开启以上权限的时候，用户已经不能通过正常的渠道去卸载该病毒，每当用户拖动病毒图标卸载或者打开管理软件卸载该病毒的时候，该病毒通过监测手机用户的操作打开的卸载病毒的窗口，会自动检测窗口内容并点击取消卸载按键，关闭卸载过程。(如图2-6 点击关闭卸载代码所示)

图2-6 点击关闭卸载代码

2.3 盗窃用户各类信息

2.3.1 病毒FTP信息

病毒程序涉及到的FTP服务器，经分析人员验证，第一次登陆ftp平台成功，ftp信息真实有效，然而之后却无法登陆，疑似病毒传播者发现情况已经更改信息。

图2-7 ftp平台信息

2.3.2 诱骗用户窃取支付信息

病毒程序提示需要用户输入自己的微信红包支付密码，并将用户微信支付密码并上传ftp，诱骗截图如图2-8 提示输入密码所示。

图2-8 提示输入密码

病毒程序获取用户输入的微信支付密码,如图2-9 提示输入代码所示。

图2-9 提示输入代码图

将获取的微信支付密码上传至ftp平台中,如图2-10 上传密码图所示。

图2-10 上传密码

2.3.3 窃取用户手机相册

病毒程序会将手机相册内的所有图片上传至ftp，具体代码如图2-11 上传相册

图2-11 上传相册

2.3.4 窃取微信信息

病毒会自动打开微信，进入微信账号等界面并截图然后将截图上传至ftp，导致微信所有信息被窃取。

判断当前的微信界面并截图代码如图2-12 判断微信并截图代码所示。

图2-12 判断微信并截图代码

将截图上传至ftp代码如图2-13 上传截屏代码所示。

图2-13 上传截屏代码

2.3.5 窃取短信信息

病毒会将用户的短信内容及收件人，发件人信息都上传到ftp平台，并且每当用户手机收发信息的时候病毒就会启动，具体如图2-14 上传短信信息代码所示。

图2-14 上传短信信息代码

2.4 远程遥控会锁屏勒索（未激活）

病毒程序的代码中发现了锁屏代码，如图2-15 锁屏代码所示：

图2-15 锁屏代码

解锁所需要的密码，如图2-16 锁屏密码代码所示：

图2-16 锁屏密码代码

2.5 防范及处置建议

1. 建议用户提高警觉性，使用软件请到官网下载。到应用商店进行下载正版软件，避免从论坛等下载软件，可以有效的减少该类病毒的侵害。关注”暗影实验室”公众号，获取最新实时移动安全状态，避免给您造成损失和危害。
2. 为防止病毒变种，用户发现已经安装此病毒的，可以请专业人员分析此病毒。
3. 安全需要做到防患于未然，可以使用恒安嘉新公司的APP威胁检测与态势分析平台进行分析对Android样本提取信息并进行关联分析和检测；
4. 用户发现感染手机病毒软件之后，可以向“12321网络不良与垃圾信息举报受理中心”或“中国反网络病毒联盟”进行举报，使病毒软件能够第一时间被查杀和拦截。

声明：

本报告内容不代表任何企业或任何机构的观点，仅是作者及所在团队作为技术爱好者在工作之余做的一些尝试性研究和经验分享。

本报告虽是基于技术团队认为可靠的信息撰写，团队力求但不保证该信息的准确性和完整性，读者也不应该认为该信息是准确和完整的。这是主要是因为如下一些理由（包括但不限于）：

第一，互联网的数据无处不在，我们所能接触到的是极为有限的抽样样本，本身不具备完整性。

第二，不同的技术方法获取的数据有一定的局限性。比如，终端agent获取的数据只能涵盖已部署终端的范围；爬虫技术的时效性和完整性受限于爬虫的规模和能力；网络侧探针技术受限部署探针的节点数量并只能对活跃的行为进行感知。

第三，即使已经纳入到分析范围的样本，也会由于技术团队规则和算法的选择造成统计结论偏差。

第四，技术团队所得出的结论仅仅反映其数字本身，进一步主观得出优劣性的、排名性的、结论性的观点是危险的。因为安全事件往往伴随着业务的良性增长，开放程度，法律法规以及黑色产业链的演进等多方面的因素，是一个复杂的生态问题。

此外，团队不保证文中观点或陈述不会发生任何变更，在不同时期，团队可发出与本报告所载资料、意见及推测不一致的报告。团队会适时更新相关的研究，但可能会因某些规定而无法做到。

最后，即使未经作者的书面授权许可，任何人也可以引用、转载以及向第三方传播。但希望同时能附上完整的原文或至少原始出处。这样的考虑在于：第一，避免选择性的部分引用造成的不必要的误解；其次，避免某些内容的错误经原作者发现并及时调整后没有体现在转载的文中。

感谢大家的理解！

*本文作者：暗影安全实验室，转载请注明来自FreeBuf.COM