一次短信木马追踪与分析 - APT防御产品

一次短信木马追踪与分析

病毒特征

程序名:相册图片

包名:com.net.cn

程序大小:323K 331,603 字节)

手机硬件:MI3/中国移动

安全软件:LBE安全大师/Zjdroid
hook插件

分析过程

1.      打开即发送短信/邮件

程序安装完成还未打开,LBE安全大师即检测其为病毒,并分析出具体的危害,在主界面上弹出明显的提示,如下图所示:

一次短信木马追踪与分析 - 第1张 | Sec-UN 安全圈

         根据LBE安全大师提示的具体危害,反编译病毒样本,可以很明显的看到,它肆意申请了好多敏感的系统权限,如下图所示:

一次短信木马追踪与分析 - 第2张 | Sec-UN 安全圈

 

         刚刚打开程序,就会发现LBE安全法师提示的其静默发送短信的通知,提示里面具体的显示了收件人号码和短信内容,短信内容为:”6-”+手机IMEI。如下图:

一次短信木马追踪与分析 - 第3张 | Sec-UN 安全圈

 

         分析一下该程序的主Acitivity,首先看下OnCreate()方法:

一次短信木马追踪与分析 - 第4张 | Sec-UN 安全圈

 

         收件人的手机号码在Consesdrqwe31ants类的pnoneNumber字符段中:

一次短信木马追踪与分析 - 第5张 | Sec-UN 安全圈

        

         可见这些信息都是加密储存在so里面,不过通过简单的静态注入,也是很容易获取到明文的账号、密码和收件人手机号。如下:

一次短信木马追踪与分析 - 第6张 | Sec-UN 安全圈

 

         拿到账号密码以后,可以登录163邮箱试试:

一次短信木马追踪与分析 - 第7张 | Sec-UN 安全圈

 

         邮件账号已经被毕,其实发送到邮箱里的也无非是本机手机号、设备号和短信内容:

一次短信木马追踪与分析 - 第8张 | Sec-UN 安全圈

 

         发送短信的内容在Asseyfgsdw12ets类的getInstallFlag方法中,如下:

一次短信木马追踪与分析 - 第9张 | Sec-UN 安全圈

 

 

2.      后台Service获取短信和联系人

一次短信木马追踪与分析 - 第10张 | Sec-UN 安全圈 一次短信木马追踪与分析 - 第11张 | Sec-UN 安全圈

 

一次短信木马追踪与分析 - 第12张 | Sec-UN 安全圈

 

一次短信木马追踪与分析 - 第13张 | Sec-UN 安全圈

3.      激活设备管理器

用户打开样本病毒的第一个界面就是要求用户选择激活设备管理器,如下图所示:

一次短信木马追踪与分析 - 第14张 | Sec-UN 安全圈

当用户激活设备管理器后,该程序会在setting设备管理器列表隐藏,应用程序激活成设备管理器后,可以实现锁屏、擦除用户数据等功能,并且无法使用常规的卸载方式对其卸载。

Android 在实现设备管理器时,需要再AndroidManifest.xml中注册一个广播接收者,代码如下:一次短信木马追踪与分析 - 第15张 | Sec-UN 安全圈

对应的方法为在主AcitivityClientActivity中:

一次短信木马追踪与分析 - 第16张 | Sec-UN 安全圈

 

当用户点击激活以后,就会弹出一个误导式的Dialog如下图:

一次短信木马追踪与分析 - 第17张 | Sec-UN 安全圈

 

         点击确定之后,返回桌面,发现程序不见了,让用户以为是手机与软件不兼容,软件自卸了。其实它已经在后台默默开启了监控模式,

4.      开机启动权限

一次短信木马追踪与分析 - 第18张 | Sec-UN 安全圈

5.      Log日志暴露监控行为

一次短信木马追踪与分析 - 第19张 | Sec-UN 安全圈

一次短信木马追踪与分析 - 第20张 | Sec-UN 安全圈

一次短信木马追踪与分析 - 第21张 | Sec-UN 安全圈

 

Log打印的地址在:

一次短信木马追踪与分析 - 第22张 | Sec-UN 安全圈

总结、查杀方式

         这款应用通过用户激活设备管理器,打开一个后台Services窃取用户的设备信息、短信、通话记录、联系人等隐私,通过短信、邮件的形式发送出来,从而获取大量的数据。已知收件人号码为:18317050340;邮箱地址:sha13049367853@vip.163.com,密码:qq123123。稍稍人肉了一下:

一次短信木马追踪与分析 - 第23张 | Sec-UN 安全圈

 

         由于程序本身过不了安全软件的识别,所以查杀方式就直接用安全软件就可查杀卸载掉。

作者:crackershi

转载于:安全圈


转载请注明出处 APT防御产品 » 一次短信木马追踪与分析

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址