從Coronavirus的行為上來看，該惡意軟件屬于木馬類病毒且具備較為詳盡的竊取用戶信息的功能，可定期從服務器更新加載惡意代碼。除此之外該病毒還具備使用Teamviewer實現遠程控制安卓設備的功能。
 

圖1.1 應用圖標

Coronavirus的加載方式

通過兩次動態加載惡意代碼的方式來完成惡意行為的執行：

(1)通過解析解密Asset目錄下的json文件加載惡意代碼

第一階段加載有效負荷：

請求開啟可訪問性服務(可以自動進行各種 UI 交互并模擬用戶點擊屏幕上的項目)

監聽處理用戶點擊事件，以下部分行為是通過該項服務配合完成。

圖2-1 遍歷節點
 

從服務器下載惡意代碼并配置參數設置(作為第二階段惡意代碼動態調用的參數傳入。)
 

圖2-2 第二階段加載惡意代碼的參數配置
 

使用Teamviewer實現遠程控制安卓設備。
 

圖2-3 遠程控制安卓設備
 

(2)從服務器動態獲取惡意代碼動態加載調用，服務器地址：http://k**ll.ug/。
 

第二階段加載有效負荷：
 

圖2-4 從服務器獲取惡意代碼
 

(3)解析第一階段配置的參數信息(指令)執行竊取用戶隱私信息、發送短信、呼叫轉移等操作，并將竊取的隱私信息上傳至服務器：http://k**ll.ug/。
 

表2-1 指令列表

Coronavirus自我保護手段

(1)通過加密字符串，無用函數調用來增加研究員逆向分析難度。

(2)將自身加入白名單對進程進行保活從而防止進程被系統殺死。
 

圖3-1 將應用加入白名單進行進程?；?br />  

(3)隱藏圖標，用戶無法通過常規方式卸載應用。當用戶通過進入應用詳細界面卸載應用時，打開應用列表界面使用戶無法進入應用詳細界面。
 

圖3-2 防止用戶卸載應用
 

(4)繞過google GMS認證。
 

圖3-3 繞過google GMS認證
 

總結

Coronavirus通過“冠狀病毒”安裝名稱以及圖標吸引用戶安裝使用，對用戶的隱私信息造成了極大的安全隱患。由于武漢冠狀病毒事件仍處于熱點階段，不少不法分子會利用該熱點事件制作惡意軟件、發送惡意郵件或短信目的在于侵害用戶隱私信息、財產。用戶應該提高雙重警惕，在免于遭受冠狀病毒對身心健康遭受侵害的同時，謹防該類惡意軟件對自身隱私財產造成損害。
 

安全建議

由于惡意軟件對自身進行了保護，用戶通過正常方式無法卸載。可采取以下方式卸載。
 

• 將手機連接電腦，在控制端輸入命令：adb shell pm uninstall 包名。
• 進入手機/data/data目錄或/data/app目錄，卸載文件名帶有該應用包名的文件夾，應用將無法運用。
• 安裝好殺毒軟件，能有效識別已知病毒。

堅持去正規應用商店或官網下載軟件，謹慎從論壇或其它不正規的網站下載軟件。