原文作者:Nattevak原文??安装并运行免流服务器APK,启动后点击安装核心文件,提示申请ROOT权限,所以程序内部执行了su命令代码。??通过代码提权,隐藏性较高,存在隐藏性危险。
??核心安装完成后根据提示重启
2.待病毒执行之后,观察可疑情况??当重启之后,会发现android系统被锁,而且会发送大量的短信
??输入任意密码,尝试直接解锁,无法解锁,需要进一步分析
3.提取样本??使用adbshell命令进入android系统的shell??使用ps命令查看进程,观察是否存在可疑进程
??进程可能会存在伪装,影响观察,所以直接前往Android安装apk的位置查看??在Android中安装apk的位置有3个:??1./system/app(系统预装app所在目录,默认不可写,但是如果有root权限,则可以修改为可写)??2./data/app(用户安装app所在的目录,存储完整的apk文件)??zs.ip.proxy-1.apk是之前安装的免流服务器APK??3./data/data/包名(用户安装app生成的与包名一致的文件夹,存储app的相关配置数据等信息)??使用adbpull命令将路径下apk文件下载到本地
4.样本概况文件:zs.ip.proxy-1.apk大小:bytes修改时间:年3月16日,23:26:10MD5:2EFCA46F34AC2EFB89B6BBSHA1:AABB0B19C43ACB2C1F52CCRC32:7F89A
文件:stk3.apk大小:bytes修改时间:年4月21日,16:52:44MD5:44DBCF4FCF4CDCDB76AF0A91SHA1:1A2FECAD4BEDADC8E1CRC32:7BE
二、行为分析,获取病毒行为??在公开平台上搜索看是否有已经分析的报告
zs.ip.proxy-1.apk??打开zs.ip.proxy-1.apk即免流服务器APK查看概况信息
stk3.apk??打开stk3.apk查看概况信息
三、详细分析病毒代码,获取行为的恶意代码zs.ip.proxy-1.apk??分析入口类的onCreate函数,其功能为从apk中assets目录中拷贝APK到SD卡中
??查看layout布局文件??az是安装核心的函数??az调用copyAppToSystem函数??1.拷贝APP到系统目录:copyAppToSystem("/storage/sdcard0/stk3.apk");??2.获取ROOT权限,执行su命令:getRoot();Runtime.getRuntime().exec("su");??3.修改系统目录:mount-oremount,rw/system/??4.拷贝文件到系统目录:cp/storage/sdcard0/stk3.apk/system/app/??5.修改文件权限为可读可写可执行:chmod/system/app/stk3.apk??6.退出命令行:exit??主要功能:拷贝自己资源中的apk到系统并修改权限
stk3.apk??分析入口类的onCreate函数,功能为启动