8月14日凌晨，王宝强通过社交媒体颁布离婚声明，动静一出即刻引爆社交圈。一夜之间，部分恶意开发者当即抓住机会，操作这次事件散播“xx抓奸视频”“宋x马x录像”等恶意链接，并悄然流传，极大地威胁着“吃瓜群众”的隐私和财产安适。

通过伪装成“色情视频”“美女写真”等所谓宅男福利以进行恶意流传的现象，在PC端已司空见惯。 按理说用户对这类老套的手法早就有较强的防止意识，但据安天AVL移动安适团队和猎豹移动安适尝试室最新捕获的一个病毒发明，这种手法虽然老套，但是恶意打击效果之显著，令人咋舌。

近期，安天AVL移动安适团队和猎豹移动安适尝试室捕获一款名为SexTrap的病毒，该病毒暗藏在色情应用中，一旦用户下载并安置该色情应用，灾难将降临至用户手机中。SexTrap病毒一旦运行，将当即加载恶意子包私自提权以获取Root权限，操作手机最高权限将下载的核心推送模块推送到系统目录下并锁定，使用户难以察觉和卸载；然后私自联网获取推送数据，进一步向用户手机系统目录推送包罗恶意扣费模块的恶意应用，并通过长途控制指令启动运行此类应用，给用户造成极大经济损掉。

哪个省份的用户最容易中招？

SexTrap病毒自6月捕获至今，在国内大部分地区广泛流传。截止目前各个省份的传染情况如下图所示。从图中可以看出，广东省是病毒传染人数最多的省份，山东省紧跟其后，随后是北京市、河北省以及河南省。

                                                                      

病毒详细分析
病毒运行流程

 

SexTrap病毒运行流程可以分为三个部分：

Part1：通过母体措施加载挪用恶意子包

携带SexTrap病毒的母体措施运行时加载libMwzgrqfvuo.so（每个母体内

的so文件名称差别，以此为例）文件，通过so文件挪用资源文件中名为“xme.png”实为apk措施的恶意子包。该措施通过类加载器反射挪用恶意子包中com.dex.kit.MainClass类的startAction要领来启动恶意子包。

Part2：私自对用户手机提权，联网下载核心推送模块

a)    恶意子包启动时联网上传用户手机型号等信息获取Root方案和下载地点，下载相应的提权文件并解密，操作Android缝隙对用户手机进行提权。

b)    联网获取下载SexTrap病毒核心推送模块的下载地点和指令信息。该恶意措施通过二次联网下载核心推送模块，并将其静默安置并推送到系统目录下，最后执行网络指令启动该模块。

c)     恶意子包读取并解析母体措施资源文件夹中的mcg.bak文件，获取恶意措施的下载地点和启动指令，联网下载恶意措施然后将其推送到系统目录下并通过指令启动。该恶意应用同样具有推送的成果。

Part3：下载、安置、运行、推送应用

核心推送模块启动后会不停联网获取推送数据并下载推送的apk，同时操作Root权限将其推送到系统目录下，然后静默安置，最后通过网络指令使用将其启动，对用户造成极大的资费损耗。

事情道理
1.加载挪用恶意子包

SexTrap病毒运行时加载so文件，加载资源文件中的恶意子包，通过类加载器反射挪用com.dex.kit.MainClass类的startAction要领来启动恶意子包。

so文件反射挪用恶意子包。

2.私自获取Root权限

恶意子包运行时会上传用户的手机信息，按照手机信息下载多种Root方案包孕“858”、“778”、“611”、“841”、“52”，按照Root方案对应的提权文件对用户手机进行提权，提权告成后删除提权文件。

下载提权文件网络截图：

提权后释放的工具文件。

 

3.下载安置核心模块

恶意子包在本地解密并获取核心模块的下载地点，进行下载。