一、背景

移花接木，指暗中使用巧计在事情进行过程中更换人或事物来欺骗别人。

近期腾讯安全反诈骗实验室发现了一款 络赌博病毒DownloadGambling。该病毒使用移花接木技术手段，通过“安全的”母包下载赌博软件，从而达到欺骗各大应用商店、安全系统的目的。该病毒首先会判断用户是否为中国用户，如果是中国用户则会私自下载并安装指定的赌博软件，赌博软件从云端下载安装，不需要上架各大应用市场，躲避安全机构的查杀；如果不是中国用户则运行软件本身的功能界面，进行超级伪装。

病毒特点：

软件本身作为载体是安全的，可以轻松绕过各大应用市场的安全检测机制，便于软件上架；

通过载体从云端下载 络赌博软件，用户和监察机构不易发现，增加赌博软件的存活时长；

启动安全的载体软件便会启动赌博软件，增大了与用户接触的几率，间接增加赌博软件的用户量，可能会使更多的用户使用；

受到移花接木影响的主要应用程序感染列表：

病毒运行流程图：

病毒运行截图：

二、病毒影响范围

DownloadGambling病毒感染用户趋势：

随着打击力度增加，感染用户数呈下降趋势

DownloadGambling病毒感染用户分布图：

感染用户最多的省市为：云南省、广东省、四川，分别占比8.5%、7.8%和5.5%

三、病毒详细分析

作为赌博软件载体的样本信息：

络赌博软件样本信息：

1、软件启动后，通过访问 址获取 络IP地址信息并发送Message信息

发送Message信息

2、 在主界面SplashUpdateActivity中对Message信息进行判断处理，当满足IP地址是在中国时，替换软件背景图片并私自下载赌博类软件；到不满足条件时启动MainActivity，运行软件自身功能界面，以此来达到欺骗用户的目的。

当满足条件时，调用initNewNetWork方法替换软件背景图片并私自下载指定的赌博软件。

当不满足条件时，启动符合软件自身功能的Activity。

通过downloadLayout方法替换软件背景图片。

3、 在initJumpStateJudge方法中判断是否已安装赌博软件，若已安装，则直接启动赌博软件，若没有安装，则下载赌博软件并安装。

存储在本地SharedPreferences中的赌博软件包名。

4、 通过autoUpdate方法下载赌博软件。

下载赌博软件。

安装下载完的赌博软件。

四、建议及手机管家查杀截图

腾讯安全反诈骗实验室建议：

2、 安装腾讯手机管家，可准确有效的保护您的手机安全；

3、从正规渠道下载安装所需的应用，可有效避免病毒软件。

受感染应用程序MD5列表:

7704c9f96faf4dda339b7f9bc4028c58

47fe89e3d936f47cc8e73de6269de4b2

560d5f491fb817d26181e76b84974fae

d5561bc8a3f4dd90792069f5cad3fc67

9898cf3a588a9546092c036ee81b56ac

骇极 – 让安全简单