病毒特征
程序名:相册图片
包名:com.net.cn
程序大小:323K (331,603 字节)
手机硬件:MI3/中国移动
安全软件:LBE安全大师/Zjdroid
hook插件
分析过程
1. 打开即发送短信/邮件
程序安装完成还未打开,LBE安全大师即检测其为病毒,并分析出具体的危害,在主界面上弹出明显的提示,如下图所示:
根据LBE安全大师提示的具体危害,反编译病毒样本,可以很明显的看到,它肆意申请了好多敏感的系统权限,如下图所示:
刚刚打开程序,就会发现LBE安全法师提示的其静默发送短信的通知,提示里面具体的显示了收件人号码和短信内容,短信内容为:”6-”+手机IMEI。如下图:
分析一下该程序的主Acitivity,首先看下OnCreate()方法:
收件人的手机号码在Consesdrqwe31ants类的pnoneNumber字符段中:
可见这些信息都是加密储存在so里面,不过通过简单的静态注入,也是很容易获取到明文的账号、密码和收件人手机号。如下:
拿到账号密码以后,可以登录163邮箱试试:
邮件账号已经被毕,其实发送到邮箱里的也无非是本机手机号、设备号和短信内容:
发送短信的内容在Asseyfgsdw12ets类的getInstallFlag方法中,如下:
2. 后台Service获取短信和联系人
3. 激活设备管理器
用户打开样本病毒的第一个界面就是要求用户选择“激活设备管理器”,如下图所示:
|
当用户激活设备管理器后,该程序会在setting设备管理器列表隐藏,应用程序激活成设备管理器后,可以实现锁屏、擦除用户数据等功能,并且无法使用常规的卸载方式对其卸载。 |
Android 在实现设备管理器时,需要再AndroidManifest.xml中注册一个广播接收者,代码如下:
对应的方法为在主Acitivity:ClientActivity中:
当用户点击“激活”以后,就会弹出一个误导式的Dialog如下图:
点击确定之后,返回桌面,发现程序不见了,让用户以为是手机与软件不兼容,软件自卸了。其实它已经在后台默默开启了监控模式,
4. 开机启动权限
5. Log日志暴露监控行为
Log打印的地址在:
总结、查杀方式
这款应用通过用户激活设备管理器,打开一个后台Services窃取用户的设备信息、短信、通话记录、联系人等隐私,通过短信、邮件的形式发送出来,从而获取大量的数据。已知收件人号码为:18317050340;邮箱地址:sha13049367853@vip.163.com,密码:qq123123。稍稍人肉了一下:
由于程序本身过不了安全软件的识别,所以查杀方式就直接用安全软件就可查杀卸载掉。