一、病毒樣本基本資訊
母程式名稱
母程式包名 com.example.xxshenqi
母程式MD5值 DB3007F01056B70AAC3920B628A86F76
母程式大小 2.35 MB (2,465,880 位元組)
母程式API版本 Android 2.2
母程式Level版本 8
母程式app版本 1.0
母程式簽名證書 CN=lilu
子程式名稱 com.android.Trogoogle
子程式包名 com.android.Trogoogle
子程式MD5 9FD8F21019BE40F9949686E7CE622182
子程式大小 1.40 MB (1,477,618 位元組)
子程式API版本 Android 2.2
子程式Level版本 8
子程式app版本 1.0
子程式簽名證書 CN=lilu
二、樣本特征及傳播方式
惡意母程式捆綁惡意子程式并誘導用戶安裝運行子包插件。在母程式安裝成功后會主動私自靜默發送短信到指定手機號碼,并通過運行母程式后提示用戶需要安裝資源包的方式誘導用戶安裝和啟動惡意子包。
子包安裝后會主動運行并隱藏程式啟動圖示,并在后臺接收來自指定手機號的短信和靜默發送E-mali到指定郵箱。
三、應用安裝后所需的危險權限:
[主程式所需敏感權限]
<manifest android:versionCode="1" android:versionName="1.0" package="com.example.xxshenqi"
xmlns:android="http://schemas.android.com/apk/res/android">
<uses-sdk android:minSdkVersion="8" android:targetSdkVersion="19" />
<uses-permission android:name="android.permission.SEND_SMS" />
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE" />
<uses-permission android:name="android.permission.READ_CONTACTS" />
<uses-permission android:name="android.permission.WRITE_CONTACTS" />
[子程式所需敏感權限]
<manifest android:versionCode="1" android:versionName="1.0" package="com.example.com.android.trogoogle"
xmlns:android="http://schemas.android.com/apk/res/android">
<uses-sdk android:minSdkVersion="8" android:targetSdkVersion="19" />
<uses-permission android:name="android.permission.SEND_SMS" />
<uses-permission android:name="android.permission.RECEIVE_SMS" />
<uses-permission android:name="android.permission.WRITE_SMS" />
<uses-permission android:name="android.permission.READ_SMS" />
<uses-permission android:name="android.permission.INTERNET" />
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED" />
<uses-permission android:name="android.permission.READ_CONTACTS" />
<uses-permission android:name="android.permission.WRITE_CONTACTS" />
靜態分析程序一、:
XX神器安裝成功后會私自靜默遍歷手機中的聯系人串列
[Java關鍵部分代碼定位]
[Smali關鍵部分代碼定位]
并發送安裝成功的短信指令“XXshenqi 群發鏈接ok”到指定“186xxxx9904”的手機號碼
[Java關鍵部分代碼定位]
[Smali關鍵部分代碼定位]
二、啟動程式后會提示用戶安裝資源包
[程式運行效果圖]
[Java關鍵部分代碼定位]
[Smali關鍵部分代碼定位]
當子包安裝成功后,主程式會再次私自靜默發送子包安裝成功的短信“Tro instanll Ok”到指定“186xxxx9904”手機號碼
[Java關鍵部分代碼呼叫]
[Smali關鍵部分代碼呼叫]
三、子程式安裝成功后會自動啟動并隱藏程式圖示
[Java關鍵部分代碼呼叫]
[Smali關鍵部分代碼呼叫]
四、子程式接收來自“186xxxx9904”手機號的短信
[Java關鍵部分代碼呼叫]
[Smali關鍵部分代碼呼叫]
五、子程式收到短信后,私自發送短信到指定手機號“186xxxx9904”及指定郵箱“[email protected]”
[Java關鍵部分代碼呼叫]
[Smali關鍵部分代碼呼叫]
總結:
程式主要目的是遍歷手機通訊錄和短信串列,并通過短信以及郵件發送形式發送到指定號碼和郵箱中。
執行程序:
1、安裝主程式后,主程式首先遍歷手機通訊錄和短信串列,并發送安裝成功的短信到指定號碼;
2、釋放子程式誘導用戶安裝;
3、子程式安裝成功后,主程式會再次發送子程式安裝成功的短信到指定號碼;
4、子程式接收從指定號碼發送的短信指令,子程式并通過短信和郵件的方式將手機中的短信和聯系人發送到指定號碼以及郵件中;
uj5u.com熱心網友回復:
學習學習,
uj5u.com熱心網友回復:
z是不是被抓住的那個小子。。uj5u.com熱心網友回復:
程式都沒有加密混淆。uj5u.com熱心網友回復:
……手機上的東東,相對現在龐大的用戶群,沒多少人重視自己手機安全了……看到什么都掃一掃,看到什么APK都裝一裝的人太多了……
別說手機有殺軟,有防火墻,有360,管家……
想想那么幾兆的一個小東西,能防啥呢???
電腦上動不動就是幾百兆的殺軟防火墻,照樣不是說中招就中招了……
uj5u.com熱心網友回復:
uj5u.com熱心網友回復:
沒啥卵用,又沒有講解,全是搬磚而已轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/119650.html
標籤:安全技術/病毒
上一篇:公司限制隨身WIFI