窃取信息的代码隐藏在集成到看似安全的应用程序中的数据分析软件开发工具包（SDK）中，并在手机重新启动或受感染的应用程序启动时提供详细信息。

checkpoint披露了这一起大规模的数据窃取活动，并命名为Operation Sheep

Checkpoint研究人员认为，收集最终用户的联系人列表的行为，开发者是不知道的，因为SDK是XX提供。

大多数相关应用程序都可以从应用程序商店安装，如腾讯应用宝，豌豆荚，华为和小米的应用商店。

具体代码分析如下(原文)

9月中旬，一款名为“XX大师”的应用程序凭借其相当不同寻常的行为模式脱颖而出。在初步分析时，我们观察到频繁访问用户的联系人数据以及当应用程序打开或重新启动移动电话时突然的网络传输激增。作为一个简单地测试网络连接速度的系统实用程序应用程序，它远远超出合理的操作。深深地感兴趣，我们仔细看了一下。

下面的代码均为该公司的SDK所为，请代入观看

我们从应用程序的Android权限要求开始，这通常表示过多的数据收集。

尽管令人担忧的是大多数权限都与应用程序的主要功能无关，但现在断定Network Speed Master本身就是一种恶意软件还为时尚早。

虽然许多合法广告SDK依赖于定制权限来分析用户以研究用户偏好并促进个性化广告内容，但当“CoreReceiver”模块出现在应用程序的清单中时，我们变得更加怀疑。该模块可监控各种设备活动，包括应用程序安装/删除/更新，电话重启和电池充电。

窃取联系人数据模块

在用户联系数据流之后，我们迅速登陆了实际的联系人数据窃取模块。

它确实以名称 – 数字对格式（例如“John Oliver：1234567890”）转储用户的整个联系人列表，将对连接成一个巨大的字符串，然后最终将其发送到远程服务器。

检查用户联系人以了解用户的社交网络是许多广告SDK中发现的流行的营销研究方法。但是，为了保护用户隐私，合法的SDK通常只收集联系人姓名或号码。有些甚至采用加密方法来生成名称 – 数字组合的唯一散列，以便根本不收集实际数据。

然而，大量上传可识别的联系方式是不可接受的，并且在许多国家/地区构成违反数据隐私法规的行为。

只针对新版android 6.0进行的联系人窃取代码

收集QQ登录数据

扫描QQ登陆详细信息的代码

每次打开都会远程连接服务器去获取最新的配置,从而进一步加载

C2命令对应的功能，极其恶劣，就是个木马

消息代码 用法

1001 设备信息包括地理位置，MAC地址，已安装的应用程序列表，电话品牌和型号

1002 用户联系人和QQ登录列表

1003 目前正在运行

1005 UMENG_KEY（受欢迎的中文广告SDK Umeng）心跳

1006 运行进程列表和PID（进程ID）

还进行了加密、