1.病毒介绍
魔波告白恶意病毒通过仿冒浏览器，播放器和一些游戏等进行流传，一旦用户手机掉慎被传染，该病毒将当即下载提权文件来获取 root权限，频繁推送告白，监控用户短信记录，私自发送扣费短信，注入大量恶意文件得手机系统用于守护病毒，防备病毒被卸载。
病毒样本的下载来源大多是来自国外的云处事器如cloudfront.net和amazonaws.com ，软件名凡是为全英文如WatermelonShare、CalcMaster等，推送的告白内容以及下载的软件也都是国外软件，以此猜测此病毒的方针应该是国外用户；从病毒成果及代码注释信息上看， 此病毒是国内制造的，因此猜测此病毒是国内制造，国外风行的范例告白木马 ，我们按照传染量较大的一个样本中的一些线索猜测木马作 者可能是在福建福州，一家从事app市场的公司。
病毒传染量变革趋势：

2.样本信息
包名:com.mobo.mrclean
证书:1D90BFFEC2A26B6CC50151757CBCEE04
Assets目录下的子包

3.恶意行为
1)病毒运行后，当即下载提权文件来获取root权限，篡夺系统的控制权；
2)注入大量恶意文件得手机系统，阻止病毒被卸载；
4)下载并静默安置恶意子包至手机rom内 ；
5)频繁推送恶意告白，影响用户正常使用手机；



4.病毒执行流程

5.详细分析
1)病毒母包行为
加载子包assets/a

挪用in1要领解码assets/c，assets/s，生成mcr.apk和libdt.so

挪用in2要领加载libdt.so

libdt.so中通过in3要领了mcr.apk

libdt.so的in4要领通过loadClass方法挪用了mcr.apk的com.android.provider.power.Power类中的init要领

com.android.provider.power.Power类中的init要领

initcore要领中通过getIsFirst要领判断措施是否第一次被运行

若是初度运行则挪用Door.init(context);要领初始化配置并启动处事b和处事d，激活告白成果

处事b，启动线程DetectAppTask并通过timerSet按时连续发送广播

检测包名通过之后，线程DetectAppTask发送弹窗广播Action”com.fpt.alk.clk”

广播接收器通过接收广播弹出告白