注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

熊猫正正的博客

熊猫正正的天空

 
 
 

日志

 
 

Android.malware.worm分析报告  

2016-01-26 10:33:31|  分类: Android开发与逆 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

Android.malware.worm分析报告

pandazheng

一、样本分析来源

样本来源于国外一篇报告,链接:

http://www.welivesecurity.com/2014/04/30/android-sms-malware-catches-unwary-users/

 

二、样本基本信息

样本类型:APK文件

样本大小:462.77KB

样本MD5c1f9283b7ad8457160d3c189430f2c75

首次云查IP:欧洲

样本历史广度:1(后台显示)

样本历史热度:1(后台显示)

 

三、恶意行为分析

样本开通了如下安卓的权限:

开机自启动

<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />

接收,发送,读写短信

<uses-permission android:name="android.permission.RECEIVE_SMS" />

<uses-permission android:name="android.permission.SEND_SMS" />

<uses-permission android:name="android.permission.WRITE_SMS" />

<uses-permission android:name="android.permission.READ_SMS" />

修改用户电话状态以及读取用户通话记录

<uses-permission android:name="android.permission.MODIFY_PHONE_STATE" />

<uses-permission android:name="android.permission.CALL_PHONE" />

<uses-permission android:name="android.permission.READ_PHONE_STATE" />

<uses-permission android:name="android.permission.READ_CALL_LOG" />

<uses-permission android:name="android.permission.WRITE_CALL_LOG" />

读写手机存储器

<uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE" />

<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />

允许网络操作

<uses-permission android:name="android.permission.INTERNET" />

安装,删除手机安装包程序

<uses-permission android:name="android.permission.INSTALL_PACKAGES" />

<uses-permission android:name="android.permission.DELETE_PACKAGES" />

读取用户联系人信息

<uses-permission android:name="android.permission.READ_CONTACTS" />

    AndroidManifest.xml中注册如下几个receiver,用于在手机后台进行恶意操作,如下:

<receiver android:name=".SmsReceiver" android:exported="true">

<intent-filter android:priority="1000">

<action android:name="android.provider.Telephony.SMS_RECEIVED" />

</intent-filter>

</receiver>

这个receiver用于监听用户手机中的短信,读取用户手机短信内容,并上传到服务器,如图所示:

Android.malware.worm分析报告 - 熊猫正正 - 熊猫正正的博客

 

服务器名为:oopsspoo.ru

服务器地址为:http://oopsspoo.ru/index.php

 

<receiver android:name=".PhoneReceiver" android:enabled="true">

<intent-filter>

<action android:name="android.intent.action.PHONE_STATE" />

</intent-filter>

</receiver>

 

这个receiver用于监听用户电话状态,如果用户电话响了,就阻断用户通话,代码所下:

Android.malware.worm分析报告 - 熊猫正正 - 熊猫正正的博客

      上面的代码显示,当用户电话响铃时,调用terminateCall,直接挂断用户的电话,挂断用户电话代码如下:

 Android.malware.worm分析报告 - 熊猫正正 - 熊猫正正的博客

<receiver android:name=".EternalService$Alarm" android:exported="true">

<intent-filter>

<action android:name="net.multipi.ALARM" />

</intent-filter>

</receiver>

这个receiver主要对应下面的service

<service android:name=".EternalService" />,用于修改用户手机的报警设置, 如果有网络连接的时候,不提示用户的WiFi,3G等网络链接提示信息,主要是用于当木马服务器与手机连通的时候,不会经常提示警告信息,如下所示:

Android.malware.worm分析报告 - 熊猫正正 - 熊猫正正的博客

<receiver android:name=".OnBootReceiver" android:permission="android.permission.RECEIVE_BOOT_COMPLETED" android:enabled="true">

<intent-filter>

<action android:name="android.intent.action.BOOT_COMPLETED" />

<category android:name="android.intent.category.DEFAULT" />

</intent-filter>

</receiver>

这是一个开机自启动的receiver,主要用于启动之前的EternalService,然后进行恶意的后台操作,如图所示:

Android.malware.worm分析报告 - 熊猫正正 - 熊猫正正的博客

EternalService中当手机与恶意服务器端接通之后,会从恶意服务器下载恶意推广APK以及其它一些恶意文件,同时会上传用户的短信,以及手机SD卡,联系人等信息到服务器端,如下所示:

Android.malware.worm分析报告 - 熊猫正正 - 熊猫正正的博客

当服务器端与手机端接通之后,通过cmd=的命令格式去操作手机端,CMD命令主要有以下几种:

SMS –上传短信

BlockNums –上传手机联系人

LOADAPK –下载恶意(推广)APK

LOAD – 下载恶意文件

DOS – 连接远程服务器

STOPDOS –断开远程服务器

 

程序运行时没有图标和界面,但会在后台偷偷运行,如图:

Android.malware.worm分析报告 - 熊猫正正 - 熊猫正正的博客

恶意程序会注册一个Activity,代码如下:

<activity android:theme="@*android:style/Theme.Black.NoTitleBar" android:label="@string/app_name" android:name=".SplashScreen" android:screenOrientation="portrait">

<intent-filter>

<action android:name="android.intent.action.MAIN" />

<category android:name="android.intent.category.INFO" />

</intent-filter>

</activity>

主程序OnCreate中,用于链接远程服务器,同时读取手机联系人,以及SMS短信,然后上传到远程服务器端,如下所示:

Android.malware.worm分析报告 - 熊猫正正 - 熊猫正正的博客

同时判断读取手机中的联系人信息,判断是否为Ru(Russian)或手机号开头为(+7),如图:

Android.malware.worm分析报告 - 熊猫正正 - 熊猫正正的博客

如果是Russian,则发送木马短信给联系人,内容为:Это твои фото?Is this your photo?),并在短信后面加上,木马服务器的下载链接,当用户点击链连就会下载恶意APK到用户手机上了,代码如下:

Android.malware.worm分析报告 - 熊猫正正 - 熊猫正正的博客

如果没有联系人,则发送一条短信到手机号为(+79037976104)的手机号上,代码如下:

Android.malware.worm分析报告 - 熊猫正正 - 熊猫正正的博客

四、程序运行截图:

APK运行之后,在前台看不到应用程序界面,只是中后台有显示,如下:

Android.malware.worm分析报告 - 熊猫正正 - 熊猫正正的博客

五、总结

这款恶意APK主要是针对Russian用户,能过发送短信的方式,进行手机之间的传播,

属于手机蠕虫类病毒,然后能过远程-CMD命令控制用户端手机用户,上传用户短信,联系人信息,通话记录,以及下载恶意推广的APK或其它恶意文件,同时当用户有电话时,会自动阻断用户的手机通话,修改用户手机的报警设置信息,主要用于隐藏自身,防止用户发现,本样本具有一定的危害性,并具有针对性。

  评论这张
 
阅读(438)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017