猫头鹰
信安舆情早知道

Android木马分析流程及实战

0x00 基本流程

移动样本分析流程:

  1. 首先查看样本是否完整如果不完整可以直接丢弃了。
  2. 如果样本完整解包查看APP基本信息。(如签名、否有敏感权限等)
  3. 查看Broadcast Receiver组件是否监听有不该监听的广播。
  4. 查看可疑Service服务。
  5. 运行样查看是否有可疑行为。(当然大多数的恶意样本的行为不会让人明显感觉的)
  6. 代码分析提取特征,特征入库。

下面针对分析流程拿一个样本做实战分析

0x01 样本特征

1.基本信息

该病毒伪装成正常软件,启动后隐藏图标开启后台监听服务,后台监听短信,窃取用户隐私,同时私下发送短信,存在诱骗欺诈行为。

  • 样本MD5:875a77f5d6a533205c155915f7b6f0ba
  • 样本包名:cn.qalaedpad.qpaewekadao
  • 样本证书串号:0x936eacbe07f201df

2. 特征描述

该病毒伪装成正常软件,开机启动,启动时开启后台监听服务,后台监听短信接收并将短信内修改后转发到作者指定的号码然后删除短信,窃取用户隐私,同时私下发送短信,存在诱骗欺诈行为。

3.反病毒软件检出率

875a

0x02 样本分析

分析工具

  • Dexter
  • Anubis
  • APKInspector
  • Dex2Jar

软件安装运行情况

apk1

apk2

软件运行后会提示绑定设备管理器,运行后图标消失,到达隐藏自身的目的。

查看样本AndroidManifest.xml文件:

敏感权限:

apk3

可疑的reciver组件:

apk4

apk5

查看短信监听的com.phone.stop.receiver.SMSReceiver

当接收到短信广播后获取短信的消息体,将消息体传递给SmsService服务并启动做进一步处理。

apk6

修改短信内容并将短信转发到作者指定的电话号码:

apk7

删除相关短信:

apk8

开机启动监听:com.phone.stop.receiver.BootReceiver

监听开机启动并启动BootService服务

apk9

BootService服务会动态注册短信监听广播

apk10

apk11

com.phone.stop.receiver.MyDeviceAdminReceiver分析

apk12

程序启动后发送自定义广播android.app.action.DEVICE_ADMIN_ENABLED触发MyDeviceAdminReceiver让用户激活设备管理器防止用户卸载。

apk13

0x03 结论

至此基本已经确定该样本为恶意,该样本运行后会隐藏自身图标,防止用户卸载。 通过开启后台服务监听户用短信,并修改短信内容并删除原始短信,后台私自发送短信,存在欺诈嫌疑。

样本链接: http://pan.baidu.com/s/1sleZ1aX 密码: 2uqs

*本文作者:MottoIN Team 成员 Andy ,未经允许禁止转载!

转载请注明来自MottoIN,未经允许不得转载!MottoIN » Android木马分析流程及实战

分享到:更多 ()

评论 1

评论前必须登录!

 

  1. #1

    真贴心

    test_41个月前 (12-04)

MottoIN 换一个角度看安全

寻求报道联系我们