严正声明分析过程中提供的相关代码请勿用于其它不法用途,右由此产生后果与本人无关!
最近全球网络攻击监控系统中,多次拦截了一种新型手机病毒,以为我决定拦截下一个病毒样本继续分析他们的的运行机制!
1.该病毒使用加密和加壳技术来保护自身不被逆向分析,而且使用短信与网络两种共存的远控技术!没有网络的手机也可以通过病毒拥有者发送短信执行远程命令,而且执行完会删除运行痕迹!
2.该病毒分析后可以发现主要针对的是6.0以下的机器,还是无法突破6.0以上由于是动态申请权限机制,可能病毒作者并没有考虑这点。
3.通过以上分析,可以发现,基本中这类病毒的都是贪图小便宜或者防范心较低的用户,为保证自身财产和信息安全的话,尽量不要从从不明网站下载软件,
4.还有尽量不要点击短信中的任何链接,即使是三大运营商官方的短信也不可轻信,现在很多的伪基站可以伪造运营商甚至是银行号码给用户发送短信,还有手机中安装一个杀毒软件也是个不错的选择。
AndroidMainifest.xml加密,第一次遇上病毒app使用正版腾讯云乐固加固!010Editor解析Mainifest,发现解析失败,观察xml头,发现开始两个字节被修改为0292,改为0300 ,尝试解析,发现尾部添加了大量的无用信息,直接删掉,修正Mainifest header的正确大小即可正常解析,同时将dex进行脱壳
马不停蹄快速定位了程序入口:
可以发现其中l.a方法是写入sharedpreferences文件,将第一次运行的时间和设备id写入到本地,k.a方法是
接着判断当前时间是否大于2019-10-3,也就是黑客作者设置的病毒的有效期,第二个判断是写死的,当两个条件都成立时,调用setComponentEnabledSetting隐藏app图标,并开启xservicr服务,最后调用一个a方法并结束当前activity,其中a方法:
病毒编写必备-老套路开启设备管理器防止自身被卸载
跳到service处,会发现onStartCommand什么事都没做,直接看onCreate
跟踪a类后发现是个线程,发现了使用ContentResolver遍历通讯录,重点只要赋予权限就可以正常读取到
接着分析到执行线程的同时
this.d = new Timer();
this.e = new b(this); //实例化b类
此处判断了系统版本和默认短信应用,这里也就是为了防止安卓4.4以上的权限问题,当条件成立时,跳转到SIFActivity,还是无法突破6.0以上由于是动态申请权限机制。所以目前来说手机系统是android 6.0版本以上还是很安全得!
快速=跟进到a线程: 诱导用户设置当前病毒为默认短信应用
尝试删除用户所有短信继续往下分析:
this.d.schedule(this.e, 10000, 120000);这里调用一个timer任务循环120秒判断当前短信应用是否为该病毒之后调用
将设备的电源选项Power设置为永不休眠状态,从而可以提高service的存活((AlarmManager)getSystemService("alarm")).setRepeating(i, System.currentTimeMillis(), 50000, PendingIntent.getBroadcast(this, 0, new Intent(this, AlReceiver.class), 0));
这条命令跟踪下可以发现就是个服务保活
每50秒触发一次,精巧得内存回收,让病毒运行流畅,不会给手机卡顿得迹象!
如果还是被系统回收的话,会触发onDestroy
结束掉自身后还是会再次开启该服务这里直接的命令调用差不多已经结束了,可以发现还有好几个广播没有看到,细心观察后可以看到都是使用的隐式调用,通过系统广播来触发
病毒作者给其它广播设置了非常多的隐式触发条件,几乎动一发而牵全身,那索性把其它的广播一一看一遍来到DXReceiver类下。
这里作者发送指令短信到受害手机上,在每读取到一条指令后都会执行h类中的方法
这里就全部暴露出作者没做加密,所以获取到用户手机通讯录数据都会回传到这个18257127420@163.com的邮箱,而且该黑客邮箱密码是qwe123,改黑客的手机号码是18257127420 。都没做加密处理,有点可惜,技术还是有点嫩~该类中会根据指令的不同会执行不同的操作,大体都是发送用户的短信和通讯录到指定邮箱和手机号,需要注意的是:
最后还发现了一个群发病毒的指令,将该病毒链接发送到受害手机的所有手机号上,它实现群发带有手机病毒的链接到中毒用户手机通讯录里面所有的亲朋好友!而中了招的亲朋好友手机继续自动在他们手机里群发,达到最大化散播病毒!其实这样的人不是黑客,是一个没有道德的技术者而已!
