【Android（安卓）安全逆向05】Android病毒行为分析

<相册图片>病毒样本分析[案例]

样本特征

程序名：相册图片

包名：com.net.cn

程序大小：323K （331,603 字节）

样本发现日期：不详                                    

样本类型：木马

样本文件MD5 校验值：

49EC89FBE881981F73F7B72C81B82594

签名证书MD5信息：

F1530ED2AAF9AA9EBA52E978105B9D64

是否加壳：腾讯                                                

威胁系统平台：安卓                  

报告更新日期：20XX.03.08

分析过程

1 敏感权限申请

2 打开即发送短信/邮件

程序安装完成还未打开，LBE安全大师即检测其为病毒，并分析出具体的危害，在主界面上弹出明显的提示，如下图所示：

根据LBE安全大师提示的具体危害，反编译病毒样本，可以很明显的看到，它肆意申请了好多敏感的系统权限，如下图所示：

刚刚打开程序，就会发现LBE安全法师提示的其静默发送短信的通知，提示里面具体的显示了收件人号码和短信内容，短信内容为：”6-”+手机IMEI。如下图：

分析一下该程序的主Acitivity，首先看下OnCreate()方法：

收件人的手机号码在Consesdrqwe31ants类的pnoneNumber字符段中：

可见这些信息都是加密储存在so里面，不过通过简单的静态注入，也是很容易获取到明文的账号、密码和收件人手机号。如下：

拿到账号密码以后，可以登录163邮箱试试：

邮件账号已经被毕，其实发送到邮箱里的也无非是本机手机号、设备号和短信内容：

发送短信的内容在Asseyfgsdw12ets类的getInstallFlag方法中，如下：

3、后台Service获取短信和联系人

4、激活设备管理器

用户打开样本病毒的第一个界面就是要求用户选择“激活设备管理器”，如下图所示：

当用户激活设备管理器后，该程序会在setting设备管理器列表隐藏，应用程序激活成设备管理器后，可以实现锁屏、擦除用户数据等功能，并且无法使用常规的卸载方式对其卸载。

Android 在实现设备管理器时，需要再AndroidManifest.xml中注册一个广播接收者，代码如下：

对应的方法为在主Acitivity：ClientActivity中：

当用户点击“激活”以后，就会弹出一个误导式的Dialog如下图：

点击确定之后，返回桌面，发现程序不见了，让用户以为是手机与软件不兼容，软件自卸了。其实它已经在后台默默开启了监控模式，

5、开机启动权限

6、Log日志暴露监控行为

Log打印的地址在：

总结、查杀方式

这款应用通过用户激活设备管理器，打开一个后台Services窃取用户的设备信息、短信、通话记录、联系人等隐私，通过短信、邮件的形式发送出来，从而获取大量的数据。已知收件人号码为：18317050340；邮箱地址：[email protected]，密码：qq123123。稍稍人肉了一下：

由于程序本身过不了安全软件的识别，所以查杀方式就直接用安全软件就可查杀卸载掉。