安卓平台“XX神器”病毒分析
一、病毒样本基本信息http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_017.jpg
母程序名称
母程序包名 com.example.xxshenqi
母程序MD5值 DB3007F01056B70AAC3920B628A86F76
母程序大小 2.35 MB (2,465,880 字节)
母程序API版本 Android 2.2
母程序Level版本8
母程序app版本 1.0
母程序签名证书 CN=lilu
子程序名称 com.android.Trogoogle
子程序包名 com.android.Trogoogle
子程序MD5 9FD8F21019BE40F9949686E7CE622182
子程序大小 1.40 MB (1,477,618 字节)
子程序API版本 Android 2.2
子程序Level版本8
子程序app版本 1.0
子程序签名证书 CN=lilu
二、样本特征及传播方式
恶意母程序捆绑恶意子程序并诱导用户安装运行子包插件。在母程序安装成功后会主动私自静默发送短信到指定手机号码,并通过运行母程序后提示用户需要安装资源包的方式诱导用户安装和启动恶意子包。
子包安装后会主动运行并隐藏程序启动图标,并在后台接收来自指定手机号的短信和静默发送E-mali到指定邮箱。
三、应用安装后所需的危险权限:
[主程序所需敏感权限]
<manifest android:versionCode="1" android:versionName="1.0" package="com.example.xxshenqi"
xmlns:android="http://schemas.android.com/apk/res/android">
<uses-sdk android:minSdkVersion="8" android:targetSdkVersion="19" />
<uses-permission android:name="android.permission.SEND_SMS" />
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
<uses-permission android:name="android.permission.READ_CONTACTS" />
<uses-permission android:name="android.permission.WRITE_CONTACTS" />
[子程序所需敏感权限]
<manifest android:versionCode="1" android:versionName="1.0" package="com.example.com.android.trogoogle"
xmlns:android="http://schemas.android.com/apk/res/android">
<uses-sdk android:minSdkVersion="8" android:targetSdkVersion="19" />
<uses-permission android:name="android.permission.SEND_SMS" />
<uses-permission android:name="android.permission.RECEIVE_SMS" />
<uses-permission android:name="android.permission.WRITE_SMS" />
<uses-permission android:name="android.permission.READ_SMS" />
<uses-permission android:name="android.permission.INTERNET" />
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
<uses-permission android:name="android.permission.READ_CONTACTS" />
<uses-permission android:name="android.permission.WRITE_CONTACTS" />
静态分析过程一、:
XX神器安装成功后会私自静默遍历手机中的联系人列表
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_016.jpg
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_015.jpg
并发送安装成功的短信指令“XXshenqi群发链接ok”到指定“186xxxx9904”的手机号码
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_014.jpg
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_013.jpg
二、启动程序后会提示用户安装资源包
[程序运行效果图]
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_012.jpg
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_011.jpg
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_010.jpg
当子包安装成功后,主程序会再次私自静默发送子包安装成功的短信“Tro instanll Ok”到指定“186xxxx9904”手机号码
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_009.jpg
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_008.jpg
三、子程序安装成功后会自动启动并隐藏程序图标
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_007.jpg
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_006.jpg
四、子程序接收来自“186xxxx9904”手机号的短信
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_005.jpg
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_004.jpg
五、子程序收到短信后,私自发送短信到指定手机号“186xxxx9904”及指定邮箱“13773xxxx@qq.com”
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_003.jpg
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_002.jpg
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_001.jpg
http://image227.poco.cn/mypoco/myphoto/20140803/16/51501397201408031618502475182006186_000.jpg
总结:
程序主要目的是遍历手机通讯录和短信列表,并通过短信以及邮件发送形式发送到指定号码和邮箱中。
执行过程:
1、安装主程序后,主程序首先遍历手机通讯录和短信列表,并发送安装成功的短信到指定号码;
2、释放子程序诱导用户安装;
3、子程序安装成功后,主程序会再次发送子程序安装成功的短信到指定号码;
4、子程序接收从指定号码发送的短信指令,子程序并通过短信和邮件的方式将手机中的短信和联系人发送到指定号码以及邮件中;
高手.没话可说.大神牛! 沙发顶楼主!!! 病毒高手! 病毒高手! 这有什么分析的.... 必须顶一个 谢谢楼主分析思路 虽然看不懂 前面有人发过原帖了 分析的很详细,支持LZ 小白看不懂
页:
[1]
2