1.捆绑应用式伪装类
该类病毒主要通过在正常软件内嵌病毒程序,变成携毒软件包,包名称、应用名称、图标都体现为正常软件。正常软件在安装过程中静默安装了内嵌病毒程序,从而导致手机中毒,而用户安装主程序时并不知情或无法判断有内嵌病毒。
图3:捆绑应用式伪装类病毒原理示意
2.独立封装式伪装类
该类病毒以独立应用程序出现,通过某种渠道进入手机,导致手机中毒,此类程序模仿系统应用、知名应用、热门软件的包名,软件名称,图标icon等达到伪装的目的,但是此应用的签名与其模仿的应用功能和形式往往不一样。
图4:独立封装式伪装类病毒原理示意
3.篡改应用式伪装类
通过把知名程序拿来反编译,篡改知名程序并进一步植入病毒代码,再签名重新打包,伪装成知名应用进行传播。重新打包的包名称、应用名称、图标都一致,但签名与知名应用不同。
图5:篡改应用式伪装类病毒原理示意
以上主要是以病毒存在的形式进行分类,腾讯移动安全实验室研究发现从病毒的恶意行为上也会存在伪装欺骗,主要包括以下两种:
A. 病毒程序读取联系人后给所有联系人发信息,信息内容包含汇款账号等等。
B. 病毒程序制造未读短信存到短信收件箱,用户误以为是未读信息,此短信可伪装来信号码,信息可包括中奖,求助等等,进行诈骗。
第三章 伪装类病毒主要传播方式
腾讯移动安全实验室研究发现,目前伪装类病毒一般通过手机群发、手机论坛、电子市场、手机资源下载站、微博、博客文章和其他方式进行传播。除了手机群发之外,基本都采取了较为草根的传播方式,通常也是用户最常用的搜索下载软件的方式,由于这些伪装类病毒普通用户无法直观辨别,因此是用户安全最薄弱环节,务必需要提高警惕。而手机群发相对比较封闭,只有一个连接和简短的介绍语,而且病毒包会设计的非常小,以便用户快速下载。所以有不少群发渠道不会进行病毒与正常软件的捆绑,因为这样无形增加了病毒的体积,而是直接让用户下载病毒本身,所以这种方式的传播对用户的直接威胁也很大。
