Android敲诈者病毒“安卓性能激活”分析(2015年9月版)
本帖最后由 龙飞雪 于 2015-11-21 17:53 编辑一、情况简介
前几天分析了论坛里的一个Android敲诈者病毒,感觉还是很有收获,后面有空多研究研究Android病毒。说句题外话,根据前面分析的Android敲诈者病毒的隐藏手法,应该可以实现“手机助手”类软件里的“卸载系统预留软件”的功能。在前面Android敲诈者病毒的评论里,有朋友留了个贴吧的链接,进去逛了逛,又发现了一枚Android敲诈者病毒,病毒程序图标很熟悉,360技术博客里有分析过该图标的病毒。不知道怎么的,之前也接触过这类Android病毒是爱加密加固加密的,这次这个Android敲诈者病毒是梆梆加固加密的,贴吧显示其出现的时间是2015年9月10号左右。
二、样本信息
文件名称:安卓性能激活.apk文件大小:1190613 字节文件类型:Application/jar样本包名:tx.qq898507339.bzy9MD5: EA7A57771D7E31B9C7AB83081D305867SHA1: 80AF8002861899323B6249ADA60685A0FDA26C64
三、病毒分析
1.经过AndroidKiller对样本文件进行反编译发现,原病毒Apk程序经过了梆梆加固处理,包名为"tx.qq898507339.bzy9",主活动Activity类为"tx.qq898507339.bzy9.MainActivity"。不过及其幸运的是使用DexExtractor脱壳工具可以脱掉梆梆加固的壳。
2.启动服务"tx.qq898507339.bzy9.RunBackgoundTips",病毒作者在传播病毒锁定用户的手机的同时,不忘了给自己打广告、代个言。
3.启动服务"tx.qq898507339.bzy9.FloatingWindowService",获取随Android系统启动的apk程序的包名,设置顶层不响应触摸消息的悬浮窗口,提示用户后面被锁机以后联系悬浮窗口上的QQ号。
4.获取安全设备管理器,向admin设备发送Intent消息,创建设备管理器系统权限激活界面,使用诱导性的语言“请激活服务/取消则无法使用”,诱导用户点击激活按钮,当前Apk程序获取系统管理员权限。
5.病毒获取系统管理员权限以后,给用户的手机设置锁屏密码">>>qq 898507339 bzy>>>",但是千万要注意密码啊,解屏密码中间有两次空格,没有冒号,切记。
6.通过分析发现,病毒作者还打算创建一个全屏的Activity活动界面来欺骗用户,无论用户是点击"解锁"还是"锁定"按钮,用户的手机都会被锁屏,导致上面设置的锁屏密码生效,用户的手机进入锁屏状态,用户的手机被锁屏密码锁定不能正常使用。
7.该病毒不但会创建上面提到的全屏的Activity活动界面欺骗用户并且还会让用户在不知情的情况下,点击按钮访问网址http://bbs.ejiayu.com/forum.php?mod=viewthread&tid=302414&mobile=1。
8.注册很多类型的静态广播如开机启动广播,接收器"tx.qq898507339.bzy9. .BootReceiver",意图启动服务"tx.qq898507339.bzy9.SmSserver",该服务没什么好说的,就是创建不能响应触屏消息的顶层悬浮窗口,病毒作者的目的就是怕中了该敲诈者病毒的用户不知道找谁解锁,影响自己的收入,特地一直显示3中提到的带有病毒作者QQ号的悬浮窗口。
9. 其实病毒作者已经在代码中留了解锁的方法,通过手机号"18258614534"发送短信到被该病毒锁定的用户手机上即可远程解锁用户被锁屏的手机;尽管用户的手机被远程解锁,用户手机上的锁屏密码被清除,但是请记住,由于该病毒程序已经具有系统管理员权限,通过普通的程序卸载方法卸载不掉,最好用手机助手类工具或者高权限的安卓程序,将该病毒Apk程序清除掉。
号外:安卓性能激活类的Android敲诈者病毒也是比较典型的,最先接触的就是这种敲诈者病毒,手法都差不多。前面360技术博客也分析过这类Android病毒,差不多但是还是有区别,360技术博客分析的该类病毒没有加壳处理,反编译的代码揣测的几次,除了锁屏解机的密码是一致的,其他的锁机行为和盗取用户信息的行为没有发现,希望对中了病毒的人有点帮助。梆梆加固脱壳后,分析加了注释的dex文件会给大家,分析有误差的地方请见谅,本人也是初学。
======================================================================================================================用户手机解屏密码">>>qq 898507339 bzy>>>",但是千万要注意密码啊,解屏密码中间有两次空格,没有冒号,切记。 ====================================================================================================================== 样本下载地址:http://pan.baidu.com/share/link?shareid=702230088&uk=2083384526http://tieba.baidu.com/p/4039505710?pn=4
图片显示不是很好,附件上传分析报告。
Kangarooaa 发表于 2015-11-24 23:51
楼主我手抖激活了,而且手机的锁屏不能输入大于号,然后用小米账号找回了密码,小米还默认屏蔽了他的悬浮窗 ...
我在android模拟器上可以输入的,需要按alt切换然后才能出现大于号 冒个泡!支持一下,感觉 好难的说, 我也想学 逆向编译, 谢谢 ,多发点 这样的帖子,{:301_997:} 谢谢楼主辛苦分析 楼主是用什么软件逆向分析的啊,能打包下发地址吗,新手也想窥视一二 签到!!!! 作者去哪学的?我想飞 分析的不错,感谢分享 想知道是怎么 脱壳的 膜拜龙飞雪师傅 本人也热衷于安卓程序逆向分析,进来学习一下,开阔一点思路,谢谢! 图谱 发表于 2015-11-21 18:18
谢谢楼主辛苦分析
多谢你的支持。