吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 52743|回复: 227
收起左侧

[移动样本分析] Android最新敲诈者病毒分析及解锁

    [复制链接]
龙飞雪 发表于 2015-11-3 16:41
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 龙飞雪 于 2015-11-5 15:15 编辑

一、情况简介
从去年开始PC端的敲诈者类病毒在不断的爆发,今年年初的时候手机上也开始出现了敲诈者之类的病毒,对这类病毒很无语也是趋势,因为很多时候病毒的产生是和金钱利益相关的。
前天去论坛病毒样本区看了看,有用户反映中了Android敲诈者病毒,就花时间分析了一下。该病毒欺骗用户是QQ空间刷赞的apk程序,诱导用户安装;一旦手机用户安装并且用户的
手机已经被Root,那么该用户的手机就会中招,手机被锁定。该病毒与以往的敲诈者病毒相比,采用了比较巧妙的绕过杀软的小把戏。

图片1.png


二、样本基本信息
文件名称:名片赞系统-已破解.apk
文件大小:1317110 字节
文件类型:application/jar
样本包名:com.q448870015.root
MD5: A79FAE7E0DAB0E7047A5FCBE7AC3F0AA
SHA1: AE5531089D79AAEBD4B01834C95781BF59A56A7A


三、样本行为分析
1.经过分析和确认发现该病毒样本程序经过了爱加密加固进行加密,要分析样本必须先脱壳,使用DexExtractor工具将样本的爱加密壳脱掉了。

2.样本的真实包名为package="com.q448870015.root",样本的主Activity为"com.q448870015.root.ui.InstallActivity"

图片2.png

3.发送标准广播"com.secneo.plugin.action.APP_STARTED"

图片3.png

4.在用户手机上执行"su"命令,用以判断用户的手机是否被root过或者是手机里面的busybox支持“su”命令。

图片4.png

5.打开资源文件夹assets下的"a"文件,将其复制拷贝,在当前程序的data目录的files子目录"/data/data/com.q448870015.root/files"下创建文件"/data/data/com.q448870015.root/files/a"

图片5.png

图片6.png

6.打开资源文件夹assets下的"b"文件,将其复制拷贝,在当前程序的data目录的files子目录"/data/data/com.q448870015.root/files"下创建文件"/data/data/com.q448870015.root/files/b"

7.打开资源文件夹assets下的"o"文件,将其复制拷贝,在当前程序的data目录的files子目录"/data/data/com.q448870015.root/files"下创建文件"/data/data/com.q448870015.root/files/o"

8.使用提示语言欺骗用户触发恶意的病毒行为,锁定用户的手机(对应下面的行为1)。

图片23.png

9.行为1:无论用户的手机root与否,直接创建线程在"su"环境下,执行下面的命令(如下图)并且只有在用户的手机已root的情况下,下面这些命令才会执行成功。
一旦命令执行成功,重启手机后用户的手机就会被锁定。

图片8.png

图片9.png

图片10.png


10.行为2:无论用户的手机root与否,,直接创建线程在"su"环境下,执行下面的命令(如下图)并且只有在用户的手机已root的情况下,下面这些命令才会执行成功。
一旦这些命令执行成功即可解除手机的锁定。

图片11.png

图片12.png

11.这类敲诈者病毒样本其实之前就出现过了,但是这个病毒样本比较巧妙,采取了一些措施来避免杀软的查杀。外壳病毒apk程序com.q448870015.root(名片赞系统-已破解)
使用爱加密加固加密了并且也不好判断为病毒apk程序真实的敲诈病毒apk程序(名片赞系统)其实就是/data/data/com.q448870015.root/files/b文件,被隐藏起来了。

图片13.png

12.步骤8中只要用户的手机一重启,开机后用户的手机就会被锁定;因为真实敲诈的病毒apk程序就是上面提到MtkEditer.apk程序、apk程序显示名称为名片赞系统、图标为QQ图标,
注册了开机启动广播"android.intent.action.BOOT_COMPLETED";一旦用户的手机开机就启动病毒服务锁定用户的手机。

图片14.png

图片15.png

13.敲诈病毒程序MtkEditer.apk的包名为package="com.lzm20151007"

图片16.png

图片17.png

14.锁定用户手机的病毒服务的行为分析--创建病毒服务时,获取当前系统的时间,格式化时间为"yyyy年MM月dd日-HH:mm:ss"格式,
然后将格式化的当前系统时间发送到病毒作者的手机13457484650上。

图片18.png

15.锁定用户手机的病毒服务的行为分析--病毒服务启动时,通过addView方法显示一个全屏置顶的悬浮窗口,根据设置WindowManager.LayoutParams的flags属性
这个悬浮窗无法取消掉,导致用户的手机无法正常使用

图片19.png

16.等待用户输入正确的解除码才能解锁手机,但是经过分析发现解锁手机并不难。

图片20.png

(序列号- 4488)* 4 = 解除码
例如:

序列号为1285348,则  解除码 = (1285348 - 4488)*4 = 5123440

图片21.png

锁定的手机成功解锁。

图片22.png


17.杀掉这个病毒的方法,对于已经Root的手机中了该病毒,直接卸载可能卸载不掉病毒apk程序,因为病毒程序已经将病毒apk放到/system/app路径下了,一般卸载apk的方法不好使。
手机解锁以后,每次的生成的解锁码都不同,如果不删除病毒apk程序,每次手机被锁定以后,都需要再次计算手机解锁码

病毒apk的清除方法1:
先解锁手机,执行adb shell 进入手机系统,然后获取最高权限su,再依次执行下面的这些命令,即可删除病毒apk。
"mount -oremount,rw -t yaffs2 /dev/block/mtdblock3 /system"
"rm/system/app/MtkEditer.apk"
"rm/system/lib/libAlterData.so"
"rm/system/lib/libAlterData.so"
"rm -r/data/data/com.zxjw.mtkediter"
"mount -oremount,ro -t yaffs2 /dev/block/mtdblock3 /system"

病毒apk的清除方法2:
先解锁手机,然后使用手机助手类软件 (卸载系统内置软件功能)将已经root的手机中的病毒apk程序MtkEditer.apk的包名为package="com.lzm20151007"的程序卸载掉。

千万别忘了,包名为com.q448870015.root的apk病毒程序也要卸载掉。

==================================================================================================================================


该工具的作者已经编译好了Android模拟器的镜像文件system.img,镜像文件版本是Android 4.4 (api 19)放在了百度云盘里,可以自行下载。
作者已经放出了源码,有兴趣的爱好者可以根据自己的需求自行修改代码,然后编译定制自己的工具,编译得到的是libdvm.so库文件

脱壳工具的使用方法:

1.将编译好的libdvm.so库文件替换掉手机系统/system/lib系统路径下的libdvm.so库文件

2.将手机或者Android模拟器的里的相关文件替换为作者已经编译好的system.img文件

=================================================================================================================================


DexHunter工具作者提供的貌似是Android 4.x源码编译后的Android模拟器的相关文件,如果要手机使用,需要打包成Rom,然后刷到手机里。





点评

我也研究了很久没弄出个所以然来。据我所知的是密码是编译后出来的序列号乘以40,但不完全是这个解密方法,薄荷每次给密码前都要问人家要安装包,估计···  发表于 2015-11-5 18:25
我来分析楼主:对JAVA、C#等高级语言有研究,精通反编汇,可能在安全公司工作  发表于 2015-11-4 20:09
http://tieba.baidu.com/home/main?un=e%E5%87%89%E5%BF%83%E8%96%84%E8%8D%B7&ie=utf-8&fr=pb&ie=utf-8 只知道他的贴吧ID  发表于 2015-11-4 16:30

免费评分

参与人数 56热心值 +56 收起 理由
GG0 + 1 我很赞同!
qaue945 + 1 虽然不懂,还是看完了.0哈哈
kanjinbao + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
stupidjia + 1 我很赞同!
晓丶茂 + 1 用心讨论,共获提升!
Ebudae + 1 谢谢@Thanks!
xuepinze + 1 我很赞同!
q164982125 + 1 用心讨论,共获提升!
qiaoqiaota + 1 谢谢@Thanks!
13929861564 + 1 大神!!
唯殇啊 + 1 大家一起用呼死他 轰炸它手机
阿超学破解 + 1 鼓励转贴优秀软件安全工具和文档!
badking + 1 谢谢@Thanks!
学妹不要这样 + 1 谢谢@Thanks!
1067161521 + 1 我很赞同!
蓦留 + 1 能出个帖子讲下DexExtractor这个工具怎么用.
lyf9ljh + 1 我很赞同!
一江之水 + 1 我很赞同!
a1171610056 + 1 我很赞同!
irr123 + 1 鼓励转贴优秀软件安全工具和文档!
adlnux + 1 鼓励转贴优秀软件安全工具和文档!
Sinyi + 1 鼓励转贴优秀软件安全工具和文档!
x373796968 + 1 谢谢@Thanks!
343424993 + 1 我很赞同!
iamernie8199 + 1 66666666
拍拍熊 + 1 我很赞同!
rainlee + 1 么么哒!~~~
枫恋蓝点 + 1 楼主让我收益非浅
星空白菜 + 1 我很赞同!
波习师兄 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
楚轩 + 1 我很赞同!
woainidongchao + 1 热心回复!
蜗飞牛 + 1 热心回复!
cr7890 + 1 谢谢@Thanks!
Tortoise + 1 谢谢@Thanks!
Hyabcd + 1 我很赞同!
yuluo5566 + 1 我很赞同!
罒_罒 + 1 很详细的分析啊
evido + 1 谢谢@Thanks!
my1472886 + 1 热心回复!
sxlixiaoyang + 1 http://tieba.baidu.com/home/main?un=e%E5
林海山河 + 1 谢谢 期待新的作品
HZH + 1 我很赞同!
qq308518933 + 1 我很赞同!
无痕软件 + 1 移动平台的天下了。,。
香气中的臭气 + 1 我很赞同!
aals + 1 谢谢@Thanks!
仁二 + 1 好像很厉害我也只能随便瞄一眼 之前还想去.
lospring + 1 我很赞同!
7151493817 + 1 学习了,讲的很详细!
毛线没有团团 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
wm378802548 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
萋小磊 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
铅笔刀 + 1 66666
蚯蚓翔龙 + 1 谢谢@Thanks!
zhaoyingxing + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

iwebdog 发表于 2016-7-2 16:41
感觉未来几年mosec都非常火热
 楼主| 龙飞雪 发表于 2015-11-3 17:33
zhaoyingxing 发表于 2015-11-3 17:11
 楼主| 龙飞雪 发表于 2015-11-3 17:15
zhaoyingxing 发表于 2015-11-3 17:11
楼主用心了,谢谢讲解

多谢你的支持,哈哈
不依baya 发表于 2015-11-3 17:19
爱加密的加固不是可以反编译吗?我上次试过可以反编译
willJ 发表于 2015-11-3 17:20
楼主高产啊,待我学习学习
 楼主| 龙飞雪 发表于 2015-11-3 17:23
willJ 发表于 2015-11-3 17:20
楼主高产啊,待我学习学习

好好学习,天天向上,向大神看齐。
 楼主| 龙飞雪 发表于 2015-11-3 17:23
不依baya 发表于 2015-11-3 17:19
爱加密的加固不是可以反编译吗?我上次试过可以反编译

你拿不到源程序apk,要拿到源程序apk,必须要先脱壳。
syrmb 发表于 2015-11-3 17:28
什么时候讲解一下脱壳的 哈哈
铅笔刀 发表于 2015-11-3 17:30
貌似样本就是我发的那个
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 06:58

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表