【2016-1-21】基于Android智能手机的木马研究与实现

作者赐稿，非经授权，谢绝转载！

作者：新乡市红旗区人民检察院 郭琦

　　　中国刑事警察学院  候世恒

[摘要]随着Android智能手机的大量普及和广泛应用，针对Android智能手机的恶意软件越来越多。研究和分析Android智能手机木马，为Android智能手机的恶意软件监测技术提供相应的技术支持，具有良好的科研意义和广阔的市场价值，同时，也为今后在公安工作中，查看受害人手机中的恶意程序，提供的参考，为提取手机中的恶意木马运行的痕迹带来技术支持。

本文研究和分析了Android智能手机木马现有的植入技术。同时也分析研究了智能手机木马的后台监听的原理和实现技术，通过对信息的截取和回传技术的研究与分析，本文实现的一种Android智能手机木马，分析了该木马的运行机制和整体结构，详细分析该木马实现功能的原理和方法。

[关键字]Android智能手机，木马，信息截取，监听技术

0．引言

Android系统中的木马软件，随着智能手机的普及更容易泛滥，特别是Android系统开源且水货、刷机行为较多，成为手机木马软件的主要攻击方向，尤其针对监听定位软件。经国内远程控制软件第一品牌网络人专家鉴定，这些具有“间谍”性质的手机软件实为木马，大肆收集和泄露用户的通话记录等。

网络人远程控制软件作为国内远程控制、远程监控软件行业的龙头，充分将用户体验放在第一位。应用户需求，开发出与软件配套使用的屏幕自动录像器。可将电脑屏幕变化内容完整记录下来，用于监控手机操作记录、QQ聊天记录、上网记录。软件支持开机自动后台运行、针对指定程序进行记录、远程查看记录。广泛用于家长对孩童监管，企业对员工的监督，学校计算机教室或网吧计算机的监控与管理。

1．研究背景

很多人安装手机软件时，不太对软件要求的权限进行分析，只要自己需要这个软件的某些功能，就会搜索、下载。但不知，一些软件过分的权限要求，很可能为个人隐私及敏感信息的泄露埋下隐患。如果所安装的软件是伪装后的木马病毒，那就相当于后门洞开，包括语音通话内容、短信内容、即时通讯内容、手机银行账号等一切信息，都可能被手机中藏着的“内奸”全部告知第三方。

手机Android系统的木马病毒主要有如下几个功能：获取硬件信息，如IMEI、IMSI等；访问特定网站，增加流量或通话费用；窃取用户通话及短信信息；窃取用户键盘输入的敏感信息。

木马对手机银行的危险性最大，木马能够窃取客户输入的用户名、密码以及手机交易码信息，并发送远程服务器。

2．Android木马概述

2.1 Android系统概述

Android（安卓），是一个以Linux为基础的开源移动设备操作系统，主要用于智能手机和平板电脑，由Google成立的Open Handset Alliance（OHA，开放手持设备联盟）持续领导与开发中。Android已发布的最新版本为Android 5.0(Lollipop)。

Android系统最初由安迪·鲁宾（AndyRubin）等人开发制作 ，最初开发这个系统的目的是创建一个数码相机的先进操作系统；但是后来发现市场需求不够大，加上智能手机市场快速成长，于是Android被改造为一款面向智能手机的操作系统。于2005年8月被美国科技企业Google收购。2007年11月，Google与84家制造商、开发商及电信营运商成立开放手持设备联盟来共同研发改良Android系统，随后，Google以Apache免费开放原始码许可证的授权方式，发布了Android的原码，让生产商推出搭载Android的智能手机，Android后来更逐渐拓展到平板电脑及其他领域上。

2.2 木马概述

木马（Trojan）,也称木马病毒，是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。

2.3 Android智能手机木马

随着Android智能手机的快速发展和大量普及，针对Android平台的恶意软件也随之增长。由于Android平台的开源和开放，智能手机木马的制造者可以随意地将捆绑了手机木马应用程序在Android平台上发布。2010年8月，Dennis发现了Android系统的第一个SMS木马。该木马在用户不知情的情况下，向指定的服务器发送订阅的相关信息。同年，赛门铁克也发现了第一个GPS间谍的恶意软件。该恶意软件是捆绑在一个类似贪吃蛇的合法游戏软件中，通过欺骗手机用户下载并安装该游戏软件，实现恶意软件的植入。该软件可以在手机用户不知情的情况下，收集和发送手机用户GPS  坐标到木马的制造者指定的服务器上。

2014年一季度共监测到Android用户感染恶意程序3791万人次，同比增长48.8%，环比增长49.4%。其中资费消耗类恶意程序的感染量最高，占感染人次总数的62%。360互联网安全中心将2014年一季度监测的Android平台恶意程序进行分类统计，其中资费消耗类恶意程序占感染人次总数的62%。据了解，资费消耗类恶意程序的主要恶意行为是通过自动联网，上传和下载数据，安装其他应用，消耗用户手机流量和资费。      

越来越多的用户青睐远程银行服务尤其是移动银行服务。网络犯罪分子当然不会放过这一事实，这样一来他们针对手持设备的攻击便逐年增长。他们利用大量不同恶意程序在不同国家获得对用户银行账户的访问权限。这些位于被感染设备的恶意程序能够窃取银行访问密码、拦截包含mTANs的短信、将钱转账到犯罪分子账户、窃取其他机密信息并向特定号码暗中发送短信。

韩国拥有发达的网络银行服务，因此成为犯罪分子盗取钱财的首选区域之一。为了在韩国传播恶意安卓应用应用程序并接近金融机构的客户，野心勃勃的病毒作者大量使用含有安卓木马下载链接且凭空出现的短信。Dr. Web的数据表明，在过去的12个月中，网络犯罪分子组织了超过1760个此类垃圾邮件活动，其中包含约80种不同的安卓恶意程序及其修改版本。

3．Android木马的工作原理

Android智能手机木马和传统的计算机木马类似，都是具有隐藏功能和恶意操作的应用程序。手机木马首先要隐藏程序，在程序执行的时候不被手机用户和杀毒软件发现。手机木马的恶意操作主要有远程窃密、信息截获、短信和通话监听等等。Android智能手机木马的植入是木马攻击的难点，现在大部分的手机木马是利用社会工程学的方法，通过欺骗实现木马的植入。例如诱骗手机用户打开一个捆绑了手机木马的文件。还有一些手机木马利用Android的系统漏洞实现植入。

木马的结构是一种典型的客户端/服务器模式。“木马“程序一般分为客户端（Client）和服务器（Server），服务器端程序是控制者传到目标只能手机的部分，安装在控制者的计算机，他的作用是链接木马服务器端程序，监视或者控制远程手机。

典型的木马工作原理是：当服务器端在目标智能手机上被执行后，木马打开一个端口进行监听，当客户机想服务器提出连接请求，服务器上的相应程序就会自动运行来应答客户机的请求，服务器端程序与客户端建立连接后，由客户端发出指令，服务器在计算机中执行这些指令，并将数据传送到客户端，以达到控制手机的目的。（如图3-1）

图3-1 木马客户端、服务终端

木马获取手机用户的信息：短信息、通话记录、用户联系人和设备信息，获取信息后会存储成txt文档，然后以邮件附件的形式发送到指定的服务器上。（如图3-2）

图3-2 信息以邮件形式发送到服务器

4．Android智能手机的信息获取木马制作

4.1 Android智能手机木马的信息截取和回传技术

Android智能手机木马的主要危害就是非法窃取手机用户的信息。例如获取手机用户的短信，监听通话，窃取手机的本地文件和手机用户的联系人信息等等。同时将获取的用户信息以特定的文本格式打包存储，然后通过网络连接将打包的文件发送到木马的制造者指定的服务器上。

获取手机用户短信，当有短信发送到手机的时候，系统会发出一个短信到达的广播“android.provider.Telephony.SMS_RECEIVED”，然后由相关联的Receiver中的onReceive（）函数接收。只要将木马程序在配置文件AndroidMainfest.xml中订阅了这个广播，就能接收到短信。因为Android系统收到短信的时候所发出的广播是有序广播，所以木马程序可以通过设置较高的优先级，优先获取到这个有序广播，然后终止该广播，阻止手机用户接收这个短信。

实现短信获取的功能，首先需要在木马的配置文件AndroidMainfest.xml中声明以下权限：

       //允许应用程序接收短信。

<uses-permissionandroid:name="android.permission.RECEIVE_SMS"/>

//允许应用程序读取短信。

<uses-permissionandroid:name="android.permission.READ_SMS"/>

//允许应用程序写短信。

 <uses-permission android:name="android.permission.WRITE_SMS"/>

获取信息流程图如图4-1：

图4-1

4.2 代码制作

在配置文件AndroidMainfest.xml的<intent-filter></intent-filter>中订阅要监听的广播。

<receiver android:name=".SMSReceiver">

               <intent-filter android:priority="1000">

                    <actionandroid:name="android.provider.Telephony.SMS_RECEIVED"></action>

                   </intent-filter>

                </receiver>

然后定义一个继承广播接收器的扩展类：SMSReceiver。其木马程序的关键代码如下：

       public classSMSReceiver extends BroadcastReceiver {//SMSReceiver是继承广播接收器的扩展类

@Override

public void onReceive(Contextcontext, Intent intent) {

       // TODOAuto-generated method stub

       //从intent中接收消息

       Object[]pdus =(Object[])intent.getExtras().get("pdus");

       for(Object p:pdus){

                byte []sms= (byte[])p;

                SmsMessagemessage = SmsMessage.createFromPdu(sms);

                String  content = message.getMessageBody();//获取短信内容

                Date date =new Date(message.getTimestampMillis());//获取发送时间

                Stringnumber = message.getOriginatingAddress();//处理获取的数据

           

       }

}

}

在相关活动中启动监听服务，实现的方法如下：

       private voidstartSMSReceiver(){

       IntentFilter filter= new IntentFilter();

       filter.addAction("android.provider.Telephony.SMS_RECEIVED");

       receiver = newSMSReceiver();

       this.registerReceive(receiver,filter);

}

在相关的活动中停止监听服务，实现的方法如下：

private voidstopSMSReceiver(){

       this.unregisterReceiver(receiver);

}

protected void onDestory(){

       super.onDestory();

       stopSMSReceiver();

}

4.3 木马主要功能

该木马的功能主要是隐藏运行在手机用户的后台，当手机用户有收发短信息的时候，该木马会获取用户的短信，主要包括：内容、时间和发信人姓名电话。然后截取这些隐私信息后，将信息会传到指定的服务器上。

5．结束语

随着Android智能手机的大量普及和广泛应用，针对Android智能手机的恶意软件也越来越多。本文主要是针对木马获取短信息这一功能进行了研究。通过研究和分析Android智能手机木马，为Android智能手机的恶意软件检测提供相应的技术支持，同时也为公安工作中获取犯罪嫌疑人手机后，能从中得知嫌疑人的短信聊天记录以及经常联系密切人员，从而为进一步开展工作做了很好的铺垫。

当然本文只是实现获取短信的功能研究，同时在接下来的工作将继续研究获取用户手机的设备信息、通讯录以及社交软件的聊天记录，这对将来公安工作中获取犯罪嫌疑人手机的电子数据证据做了相关的技术支持，能迅速便捷的得到工作人员想获取的相关电子数据。

参考文献：

[1] 网秦2014上半年手机安全报告

http://net.chinabyte.com/356/13072356.shtml，2014-09-09

[2] 360发布年度“心塞”报告：《2014年中国手机安全状况报告》  

http://tech.hexun.com/2015-01-27/172781605.html，2015-01-27

[3] 周建峰.安卓新漏洞遭遇控制型木马“索马里海盗”.电脑迷.2012

[4] 韩朝，梁泉.Android的智能手机的设计与实现[D].背景：电子工业出版社，2010

[5] 熊刚.基于Android的智能手机的设计与实现[D].武汉：武汉理工大学，2012,6-13

[6] 耿东久，索岳，陈渝，等.基于Android手机的远程访问和控制系统[J].计算机应用.2011，31（2）：31-33

[7] 董蕾，黄淑华，尹浩然，等.基于Android系统智能手机木马攻防机制的分析[D].广州：广东工业大学，2013,22-29

[8] 戴茜，孙润康，严尹宏.基于Android后台监听机制的程序实现[J].计算机光盘软件与应用.2012,15:220-221

[9] 蔡罗成.Android后台监听实现机制浅析[J].信息安全与通信保密.2010,06：39-41

原文始发于微信公众号（Th0r安全）：【2016-1-21】基于Android智能手机的木马研究与实现