inst 俄罗斯Android-Fakeinst系列恶意代码分析（一）

众所周知，由于平台的特殊性，移动终端上的恶意软件主要是通过恶意收费来扣除的，其中主要的形式是短信收费和流量收费。今天我们来分析一个Fakeinst家族的恶意代码，典型的是通过短信恶意收费。Fakeinst家族的恶意代码占2012年Android平台恶意代码总数的60%以上，2013年占43%。
顾名思义，Fakeinst家族的恶意代码通过伪装成主流应用(如Instagram、Opera浏览器、Skype等)来盈利。)并向付费号码发送短信。Fakeinst主要存在于俄罗斯，品种很多，如Opfake、Jifake等。我们举个例子来看一下Fakeinst类型的样本。
【inst 俄罗斯Android-Fakeinst系列恶意代码分析（一）】样本名称:
Trillian_1.2.0.5_rus_kol
包名:
com.soft.android.appinstaller
尺寸:
60597字节
MD5:
64 de 83 eba9 a 760 FB 35319 a2 a 73984252
版本名:
1.0
这个样本可以在很多杀毒软件里杀死，比如卡巴斯基举报为Fakeisnt类型。
首先我们看到这个app的名字:Trillian，是一个美国公司开发的即时通讯软件，可以整合几种即时通讯软件的聊天界面。这个恶意软件应该伪装成Trillian来骗取人们的信任。
边肖想让你看看这个样本的“真实内容”，但第一页让边肖感到害怕，它真的没有“在俄国多产”的名声:

文章图片

边肖说文化水平有限，一个字都听不懂~
边肖点击右下角的按钮后，下一页借助一些安全软件知道是给88088号发付费短信，然后输入了一个边肖打不开的链接(可能原因有很多，我就不一一猜了~)。反正到目前为止，大家都看到了它的真面目。是一款很直接的软件，上来就要钱，完全不拐弯抹角。然后，边肖会带你去看反编译的结果:
首先是申请权限:
Android . permission . read _ phone _ state(读取手机状态和身份)
Android.permission.SEND_SMS，(发送短信)
Android.permission.RECEIVE_SMS，(接收和处理短信)
Android.permission.INTERNET(允许应用程序连接到网络)
可以看出，无论是SEND_SMS还是RECEIVE_SMS，都是Fakeinst类型样本以发送付费短信为目的的常见应用权限，尤其是SEND_SMS，READ_PHONE_STATE也是获取用户隐私的必要权限，虽然一些正常的软件也需要这个权限。
让我们看看一些反编译代码:
这个恶意代码的作者非常真实。可以直接看到一个叫MesssageSender的类。代码如下: