关于whatsapp怎么隐身登录，你需要知道这些真假应用傻傻分不清，HideIcon病毒玩起“隐身计”

伪装成流行的应用程序是手机病毒的常见手段。对于没有实际功能的病毒，细心的用户很快就会发现安装了伪造的应用程序，但这次病毒使用了新的手法。

最近，猎豹安全研究所和安川安安全团队通过伪装成人气应用程序，捕捉到了伪装成用户手机的病毒——HideIcon病毒。这种病毒为了伪装得更加真实，在运行后隐藏了自己的图标，并在以后应用更新，发送了下载伪装的正版应用程序的信息。

在用户安装正版应用、放松警惕的同时，实际病毒已经开始在后台悄悄运行。在成功获取用户信任之后，病毒会进行推送各种广告、下载其他恶意插件的行为，长期消耗用户的流量资费，对用户的个人隐私造成严重威胁。

一、感染情况分析

根据猎豹安全实验室提供的数据统计分析， HideIcon病毒在全球感染的地域较为广泛，南亚、东南亚、欧洲、北美洲、南美洲均有分布。感染量Top10的国家依次是印度、印尼、俄罗斯、菲律宾、墨西哥、美国、伊朗、加拿大、马来西亚、泰国，其中南亚及东南亚国家有一半之多，且占据感染量第一、二位。可见南亚及东南亚地区是HideIcon病毒感染的重灾区。

此外，根据数据统计可知，在2017.5.1至5.24期间，HideIcon病毒的感染量整体呈现平稳增长趋势，从五月初的140万左右的感染量增长至五月底的150万左右的感染量，尤其是在五月下旬，出现了一次感染量增长的“小高峰”，应当引起一定的警惕。

根据猎豹安全实验室捕获的病毒样本统计，目前有包括Pokemon Go，WhatsApp在内的6款流行应用被该款病毒伪装，对应的图标和应用名称如下：

二、恶意行为分析

2.1 恶意行为流程图

2.2 恶意行为详细分析

Step1：上传设备信息，隐藏图标

HideIcon病毒启动后首先上传Android_ID、IMEI、MAC、已安装应用列表等移动设备隐私信息，其目标url为。

HideIcon病毒上传的加密隐私信息内容如下：

将上述加密信息解密后信息标签和内容如下，其中包含了安卓版本信息、MAC地址等等。

在上传设备隐私信息后，进行隐藏图标的操作：

Step2：诱导用户安装所伪装的正版应用

首先，HideIcon病毒会在后台开启服务：

其次，将assets下的正版应用文件（下图展示的为9APPs url）复制到SD卡并且开启一个新线程，并以应用更新的名义不断提示并要求用户安装正版应用。

在用户安装正版应用并使用正常的时候，往往会放松警惕，而这时HideIcon病毒却一直在后台运行并陆续进行着各种恶意行为。

Step3：联网获取远程指令，实施远程控制

HideIcon病毒监听到正版应用安装完成后，就开始正式实施恶意行为。其主要手段是通过联网从指定链接中获取远程指令，并根据返回值进行一系列的恶意行为（指定链接：）。返回值和对应的恶意行为如下所示：

获取指令并根据指令进行操作：

显示广告：

下载插件：

之后不断请求安装插件：

下载的插件和病毒程序本身的行为非常相似，都包含联网获取指令代码，后续执行广告和激活设备管理器等行为。插件伪装成Google Service，内置多种广告sdk：

激活设备管理器的代码如下所示，是否激活也是通过url返回值控制：

url返回值中包含一些社交应用包名，打开这些社交软件时会弹出激活设备管理器：

设备管理器界面显示的信息也是从url返回值中获得的：

Step4：推送广告

HideIcon病毒会不断查询获取当前的栈顶activity：

然后判断当前栈顶activity是否属于系统应用或远控指令返回的知名社交应用对象，如果不是则加载广告：

加载的广告将以悬浮窗或者全屏的形式置顶。

三、溯源分析

经分析，该病毒相关的一系列URL对应的ip地址为越南和新加坡。此外根据病毒应用签名及时间，可以猜测作者是越南人，位于河内，姓张。

同时，根据签名信息和代码结构，一些关联样本也被找到，其hash如下：

以上样本从2015年4月开始出现，初期的样本主要是伪装为系统应用并展示广告，但是随着时间的推移，该家族的样本也进行了一些技术升级，例如获取设备管理器、引导用户安装正版应用、远程下载插件，同时根据上传信息来投放广告等行为，进一步加大了杀毒软件以及用户对该病毒的判别难度，也足以看出HideIcon病毒有相对较长的传播周期。同时，其相关的ip主要是在越南和新加坡，结合前文的感染国家分布，可以推测该病毒的目标人群主要在东南亚地区。

四、安全建议

针对HideIcon病毒，猎豹安全大师和集成安天AVL移动反病毒引擎的安全产品已经实现全面查杀。猎豹安全实验室和安天移动安全团队提醒您：

1、建议从正规应用市场下载应用，不要从不知名网站、论坛、应用市场等非正规渠道下载应用； 　　2、培养良好的安全意识，使用猎豹安全大师或集成了安天AVL引擎的安全产品进行病毒检测，以更好识别、抵御恶意应用； 　　3、当手机中莫名出现弹窗广告等异常情况时，请及时使用安全产品扫描手机并对异常软件进行卸载处理。

附录