所在的位置: mysql >> mysql资源 >> Android锁机病毒分析

Android锁机病毒分析

原文作者:Nattevak原文??安装并运行免流服务器APK,启动后点击安装核心文件,提示申请ROOT权限,所以程序内部执行了su命令代码。??通过代码提权,隐藏性较高,存在隐藏性危险。

??核心安装完成后根据提示重启

2.待病毒执行之后,观察可疑情况

??当重启之后,会发现android系统被锁,而且会发送大量的短信

??输入任意密码,尝试直接解锁,无法解锁,需要进一步分析

3.提取样本??使用adbshell命令进入android系统的shell??使用ps命令查看进程,观察是否存在可疑进程

??进程可能会存在伪装,影响观察,所以直接前往Android安装apk的位置查看??在Android中安装apk的位置有3个:??1./system/app(系统预装app所在目录,默认不可写,但是如果有root权限,则可以修改为可写)??2./data/app(用户安装app所在的目录,存储完整的apk文件)??zs.ip.proxy-1.apk是之前安装的免流服务器APK??3./data/data/包名(用户安装app生成的与包名一致的文件夹,存储app的相关配置数据等信息)??使用adbpull命令将路径下apk文件下载到本地

4.样本概况

文件:zs.ip.proxy-1.apk大小:bytes修改时间:年3月16日,23:26:10MD5:2EFCA46F34AC2EFB89B6BBSHA1:AABB0B19C43ACB2C1F52CCRC32:7F89A

文件:stk3.apk大小:bytes修改时间:年4月21日,16:52:44MD5:44DBCF4FCF4CDCDB76AF0A91SHA1:1A2FECAD4BEDADC8E1CRC32:7BE

二、行为分析,获取病毒行为

??在公开平台上搜索看是否有已经分析的报告

zs.ip.proxy-1.apk

??打开zs.ip.proxy-1.apk即免流服务器APK查看概况信息

stk3.apk

??打开stk3.apk查看概况信息

三、详细分析病毒代码,获取行为的恶意代码zs.ip.proxy-1.apk

??分析入口类的onCreate函数,其功能为从apk中assets目录中拷贝APK到SD卡中

??查看layout布局文件??az是安装核心的函数??az调用copyAppToSystem函数??1.拷贝APP到系统目录:copyAppToSystem("/storage/sdcard0/stk3.apk");??2.获取ROOT权限,执行su命令:getRoot();Runtime.getRuntime().exec("su");??3.修改系统目录:mount-oremount,rw/system/??4.拷贝文件到系统目录:cp/storage/sdcard0/stk3.apk/system/app/??5.修改文件权限为可读可写可执行:chmod/system/app/stk3.apk??6.退出命令行:exit??主要功能:拷贝自己资源中的apk到系统并修改权限

stk3.apk

??分析入口类的onCreate函数,功能为启动


转载请注明:http://www.aierlanlan.com/rzgz/561.html

  • 上一篇文章:
  •   
  • 下一篇文章: