对木马APP土耳其字典的逆向分析
本帖最后由 wnagzihxain 于 2017-2-10 13:26 编辑报告名称:对木马APP土耳其字典的逆向分析
作者:wnagzihxain
报告更新日期:2017.02.08
样本发现日期:不详
样本类型:木马
样本文件大小/被感染文件变化长度:
样本文件MD5 校验值:
样本文件SHA1 校验值:
壳信息:无
可能受到威胁的系统:安卓
相关漏洞:无
已知检测名称:无
0x00 病毒特征
该病毒内嵌一个正常应用`土耳其字典`,并将自己伪装成该应用诱导用户下载安装,点击运行后会先运行病毒自身,并隐藏图标,然后释放安装原应用`土耳其字典`,并打开正常运行界面,用户很难察觉在安装时还运行了病毒
0x01 病毒危害
该病毒启动后会在后台获取用户手机硬件数据,GPS位置,短信信息,通话记录,照片缩略图等数据,并在判断网络接通后进行压缩上传,该病毒一旦运行在用户手机中,将造成严重的隐私泄露,流量消耗等问题
0x02 详细分析
病毒逻辑结构
1.初次运行会进行一次本地配置文件的初始化,保存各种参数信息,比如监控GPS的时间间隔`GPSLevel`,默认是`120`,也就是两个小时记录一次,在比如`ImageSize`,默认是`100`
在初始化这些变量之后会进行一次存储,写进配置文件
最后判断是否Root,如果未Root直接退出
2.如果不是第一次运行并且网络连通,则进行配置参数的更新,然后初始化参数
3.如果不是第一次运行并且网络不连通,则使用配置文件的数据进行参数的初始化
4.在进行参数的初始化完成后,设置隔两小时发送一个广播
`"com.example.androidapp.GPS_TIMER"`
接收这个的Receiver会启动MyGpsService,该Service主要负责同步`Login.xml`里基站部分的信息,如果基站信息变化则进行数据上传并更新本地配置文件
5.设置一个定时广播`"android.intent.action.STARTMYAP"`,用于定时启动病毒自身
6.接下来会进行数据的获取并上传的操作,上传时的流程会结合本地配置文件以及获取的指令进行动态调整,上传的内容包括联系人列表,已安装APP应用信息,短信,通话记录,上网记录,图片缩略图等,收集到的信息会先进行编码,然后压缩,并在网络连通的情况下上传到服务器
跟入方法`GetInfo()`分析都获取了哪些数据
首先是关于硬件的各种参数以及系统版本的一系列信息
受害者手机当前所连接的基站信息
受害者手机当前所连接的WiFi信息
以及GPS位置信息
在获取这些数据后会进行压缩处理
然后编码
压缩后进行上传,并将上传结果写进配置文件
在最后还有一个对指令的解析操作,当第n次运行的时候,作者会通过回传的指令来控制配置文件,而配置文件动态控制数据的获取流程,从而有针对性的获取受害者手机数据
7.在运行完病毒的代码段后,会创建一个新线程`MyThreadStart`,该线程的作用是将原APK从assets文件夹中读取出来进行安装
同时该线程中还会检测是否安装了该应用,如果检测到该应用,则跳过安装直接打开应用
8.最后隐藏图标
0x03 安全建议
1. 使用正规的应用中心作为下载渠道,不安装来路不明的应用
2. 安装专业的手机安全软件,定期杀毒,远离病毒威胁
样本暂不提供下载,谢谢 枫叶飘零 发表于 2017-2-9 01:58
前排膜拜!出售辣条、瓜子以及萌萌哒小枫叶一只!
一听到外国我就想起了上次那个啥玩意拉丁文?
嗯,后来深入分析了一下发现是波斯文 看图片你这个是维吾尔文的土耳其语词典,不是波斯文。是新疆那边开发的词典,应该是新疆比利坎公司开发的 支持一下大师 厉害 支持一下 长知识了,支持一下~ 非常好,感谢大神分享 大牛就是厉害 谢谢楼主分享{:1_921:} 有没有样本发一下, 学习学习 前排膜拜!出售辣条、瓜子以及萌萌哒小枫叶一只!
一听到外国我就想起了上次那个啥玩意拉丁文?
有没有样本发一下, 学习学习,厉害了我的哥