吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 19805|回复: 78
收起左侧

[移动样本分析] 对七夕“超级病毒”XX神器的逆向分析

  [复制链接]
linso 发表于 2014-8-6 07:09
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 linso 于 2014-8-6 09:45 编辑

七夕的安卓手机xx神器超级病毒大家应该都在新闻上看到了吧吾爱也有这篇文章的http://www.52pojie.cn/thread-281082-1-1.html
话不多说,开始分析
14072085148879.jpg

首先给各位无良媒体记者跪了。七夕那天刚从公司拿到样本的时候还以为是主管随便到网上扒了个木马demo给我练手,第二天看新闻才知道这小玩具已经搞得满城风雨,媒体竟然称它为“超级手机病毒”(-_-#)不得不感叹混安全圈想装逼简直太容易了。在此强烈谴责这种夸张报道,不仅向公众传递错误信息,也会影响孩子的价值观。短短今天说这个apk没有任何研究价值,虽然技术是非常拙劣,但是其利用短信不会审核恶意链接的性质传播的方式倒是令人眼前一亮。


下面就来瞧瞧这个“XX神器”的真面目


从恶意链接上下载到“XXshenqi.apk”,考虑到是恶意应用,先不急着安装,反编译一下看看这到底是个什么玩意。

直接拖进APKIDE,查看AndroidManifest.xml:

2.png

乍一看,似乎除了声明了发送短信和读取联系人的权限比较可疑,没其他什么特点。组件部分也只有Activity,没有Service,没有BroadcastReceiver,并不具备木马特征。观察到主Activity是WelcomeActivity,那就先进这个Activity看看在搞什么名堂。

这个木马并没有做代码混淆,直接反编译WelcomeActivity就能看到Java源代码,首先看到的东西很令人惊讶:

3.png

不需要仔细看就知道是在群发短信,但是真正让人惊讶的是这段代码里居然藏了一个手机号(っ °Д °;)っ把自己的ID藏在病毒里的事情中已经见怪不怪了,这种赤裸裸暴露自己手机号的还是第一次见(;¬_¬)别急,下面还有更卧槽的。

5.png

这一句话就是木马传播的核心,获取通讯录并向联系人发送包含该木马下载链接的短信。通常在QQ或者邮件里发送恶意链接的话都会被检查,而现在的短信却不具备检查内容的安全机制,这是该木马最大的亮点。

WelcomeActivity开启群发短信的进程后,继续启动MainActivity,在MainActivity里找到三个if语句:

4.png

不难看出,这就是登陆按钮的事件处理,三个if语句以各种理由拒绝用户登陆,这样做的原因就只有一个,这个所谓的登录窗口是假的,这个“XX神器”根本没有任何功能,当然没办法让人登陆了。

那MainActivty的主要目的是干什么呢?找到retrieveApkFromAssets方法:

6.png

可以看到,该方法从assets文件夹里释放了一个文件。那就赶紧到assets文件夹下找到这个文件吧ヽ(`Д′)ノ

7.png

居然声称自己的包名前缀是com.android (;¬_¬)

反编译这个apk,打开AndroidManifest.xml,看看到底在搞什么名堂:

86.png

看到这些基本上什么都懂了,“XXshenqi.apk”其实是个外壳,其真正目的是释放隐藏在assets文件夹下的com.android.Trogoogle.apk,这才是木马本体。

查看smali目录,发现有如下几个包:

87.png

简略看了看源码,其他几个包跟com包杂乱无章的代码风格不一样,应该是作者找的开源包,只有com包才是木马功能真正的实现部分,所以只需要把精力放在这个包上就可以了。

查看com包的源码,首先注意到的是BroadcastAutoBoot,这是个接收开机事件的BroadcastReceiver:

88.png

可以看到收到开机事件后,启动了ListenMessageService,这是木马常用的开机自启方式。

跟进ListenMessageService看看,注意到以下两个方法:

private String ReadAllMessage(Context paramContext):private void ReadCONTACTS(Context paramContext, String paramString)

在ReadAllMessage中找到下面这一行:

9.png

在ReadCONTACTS中找到下面一行:

不难判断出ReadAllMessage的目的是读取所有短信,ReadCONTACTS则是读取通话记录。

继续往下看,跟踪onStart(),看看服务启动后做了哪些事情,注意下面这一行是关键:

ListenMessageService.this.getContentResolver().registerContentObserver(Uri.parse("content://sms"), true, new ListenMessageService.SmsObserver(ListenMessageService.this, new ListenMessageService.SmsHandler(ListenMessageService.this, ListenMessageService.this)));

ListenMessageService启动后注册了一个ContentObserver监视短信数据库,处理Handler为ListenMessageService.SmsHandler,继续跟进实现处理Uri改变的onChange()方法,发现下面关键行:

10.png

木马通过监视短信收件箱,当手机收到短信时将其截获,并且发送到181****7397这个号码。

继续看:

11.png

木马特别留意了186****9904这个号码的短信,将其视为命令消息,继续往下找到处理逻辑:

12.png

该短信共有5个操作命令:

readmessage:发送邮件命令,启动MySendEmailService,将收件箱和发件箱的短信以邮件形式发送sendmessage:发送短信命令,能控制该手机发送任意短信到任意号码test:测试命令,将“【数据库截获】TEST数据截获(广播失效)”以短信发送至186****9904makemessage:伪造任意地址、任意内容的短信‍‍sendlink:读取联系人信息,以邮件方式发送

在此明晰了该木马的大体架构,该木马利用指定号码发送短信,控制肉鸡将隐私信息以邮件形式发送到自己的邮箱。

一个有趣的细节是,木马作者将自己的QQ邮箱和密码全部暴露在了代码里(;¬_¬),拿到密码后,兴冲冲地去登陆这个邮箱,却发现密码已经被改了,估计是被前辈们抢先了吧。

有关这个木马的关键点就讲到这儿,有兴趣的朋友可以自己找样本分析,代码没做混淆,肉眼就能看懂。虽然木马使用的技术很小儿科,但是能其利用短信广泛传播的特点令人深思,余弦前辈说:很多时候,工程化能力远比单点技术研究重要多了。

好了,发这个帖子花了我二十分钟,几十张图片,累死了

不打赏,不给热心的都不是人

下面,听口令

掌声雄起

开始点赞

预备

评分


点评

楼主,发个样本,我看下  发表于 2015-8-6 18:38

免费评分

参与人数 38威望 +1 热心值 +37 收起 理由
aa87287 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
whw0419001 + 1 已答复!
zhiyi0724 + 1 好厉害好细致的分析,壮哉我大52
色彩不全白 + 1 我很赞同!
风星璇 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
若飞@梦 + 1 鼓励转贴优秀软件安全工具和文档!真心服了
梦游枪手 + 1 热心回复!
奈落堇梦 + 1 已答复!
tz6644946 + 1 我很赞同!
神经兮兮 + 1
永远不知道 + 1 好像很厉害的样子
watking + 1 我很赞同!
asura9161 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
路上繁星 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
fly农夫三拳 + 1 我很赞同!
Sp4ce + 1 鼓励转贴优秀软件安全工具和文档!
赖哥 + 1 顶!!
willJ + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
pek122 + 1 很给力啊
w80224119 + 1 我很赞同!
qin_xs + 1 已答复!
吾爱扣扣 + 1 还以为是原创。。不过能看到这帖也算我的福.
applek + 1 这个木马运行原理很简单,不知道为什么不用.
a5112075 + 1 大神就是厉害
阿萨德22 + 1 我很赞同!
Mr_Rebel + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
chenlinrong2012 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
cqqloveyou + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
1257845453 + 1 谢谢@Thanks!
误事人菲 + 1 已答复!
yAYa + 1 膜拜分析大牛!!
star0angel + 1 膜拜跪舔大大
瓜子吧3 + 1 热心回复!
ylf + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
a73037 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
疯狂的菜刀 + 1 我很赞同!
hx924923235 + 1 已答复!
无趣水瓶 + 1 很棒哦

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Emma 发表于 2014-8-6 07:22
此贴必定会火
star0angel 发表于 2014-8-6 07:16
 楼主| linso 发表于 2014-8-6 07:20
无趣水瓶 发表于 2014-8-6 07:20
走过路过,不能错过.
头像被屏蔽
shentouhi 发表于 2014-8-6 07:22
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
疯狂的菜刀 发表于 2014-8-6 07:27
提示: 作者被禁止或删除 内容自动屏蔽
瓜子吧3 发表于 2014-8-6 07:38
不错呀。。。
 楼主| linso 发表于 2014-8-6 07:43
本帖最后由 linso 于 2014-8-6 07:45 编辑

好感动,谢谢
zackchen 发表于 2014-8-6 07:45
论坛多点技术贴 也会成美好人间
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 13:31

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表