首页
论坛
课程
招聘
[原创]android木马Phone_spy分析报告
2012-3-30 15:50 20049

[原创]android木马Phone_spy分析报告

2012-3-30 15:50
20049
一、样本特征
1.基本信息
病毒类型:木马
样本长度:328,138 字节
2.特征描述
    该样本启动后无界面,后台服务运行,监听短信和电话。被控端接收控制端发来的短信指令后,会静音并删除该指令短信,其它短信正常接收,读取其中的配制信息(邮箱地址),根据控制端所发出的指令可发送短信内容和将通话录音通过邮箱发送到该邮箱。危害隐私较大。
二、样本分析
静态分析
1.        AndroidManifest.xml分析
接收短信权限
图1:


注册广播接收器:自启动和短信、电话
注意看类名是混淆过了,不过内容还好,不太影响阅读
图2:


相关服务:猜想可能是电话、短信和录音的
图3:


2.        我们先从分析自启动部分吧
第一个包是广播处理相关的类都放在这
点开看看
图4:


图5:


从上往下,依次是
第1个:空的,可先跳过
第2个:重点,核心之核心,一会会重点分析
第3个:电话相关
第4个:短信相关,可以看到里面有:SMS_RECEIVED
第5个:自启动相关,这个很重要,点开看看

图6:


它启动一个服务,我们看看是什么,它类名虽然混淆过了,没关系,点连接来到这里。

图7:


这是树型图,看内容
图8:


可以看出这个服务是用来处理电话相关的,先看看onCreate里面有什么东东
图9:


这个new是个什么玩意?它也是广播里面的,就是上面所说的第2个:重点,核心之核心这个,不信点开看下

图10:


好,自启动部份先分析到这,接下来看下它的邮件发送部分,我比较关心这个,就是doSend()这个方法,我们重点看下

3.        邮箱
可能有人会问,为什么是doSend?你怎么知道是doSend?好,我们仍然按照顺序分析
我先说下流程:onChangeII11II1II1IdoSend

onChange
图11:


II11II1II1I
图12:


doSend
这里面就是发邮件的代码,但还不是关键代码,兴奋吧,G点吧
接下来我们实质性的接触到邮件发送的相关类,主要有两个,不多

图13:


就从“短信记录”这个地方开始分析吧
图14:


不知道怎么回事,我这出了点小问题,不过不影响,我用其它方法
我依次点开了看下,邮件的处理在第二个包里,就两个类,先看第一个,挨个看
图15:


第1个:可暂时先跳过
第2个:录音文件
第3个:呵呵,这个可有意思,“试用结束 请注册本软件,详情联系”居然要注册,一会我会教大家怎么处理下这个,呵呵,应该是有使用限制吧
第4个:短信记录
第5个:通话记录
第6个:可暂时先跳过
这里我们重点分析第3个和第4个吧,其实道理是一样的

第3个:这有个if语句,就改这,呵呵,感兴趣的可以自己下去试试,嘻嘻
图16:


第4个:
图17:


注意我打箭头的一定要进去看,这才是发邮件的核心部分,我们进去看下
有人说点了没反应,点不进去,是的,往上翻,顶部
图18


现在可以了,来到这
图19:


点进去看看
图20:


它这个是先从控制端发来的指令取得邮箱地址,用户名,密码,然后自写的一个发送邮件类
好了,邮件发送的分析就先到这,可能有人会问,控制端发送指令的处理在哪了?不急,在这,眼熟吧,就是上面说的核心之核心那个类,广播里面,doSend(),记起来了吧。
图21:


4.        短信
本来还想分析短信、电话和录音部份的,标题都写好了,算了,我贴出所在的包和类,及相关方法的代码,大家自行研究吧,我说一下找的思路:先在邮件发送的类里找到短信发送
图22:


点击进去就是
图23:


不知道大家注意没,它有4个类,我看了下,分别是配制,短信,电话,录音,但不一定是我说的这个顺序,算了,我还是说清楚吧
第1个:短信
this.db.execSQL("insert into sms(sms_type,sms_phone_number,sms_phone_name,sms_context,sms_date) values(?,?,?,?,?)
第2个:电话
insert into phone(phone_type,phone_number,phone_name,phone_time,phone_amr_file_path,phone_date) values(?,?,?,?,?,?)
第3个:录音
insert into phone_amr(amr_file_path,amr_date) values(?,?)
第4个:配制
this.O0O0OOO0.rawQuery("select * from config", null)

5.        电话:就不多说了,上面已经分析过了

6.        录音:同上

小总结下:比较重要的几个包,一个广播处理,一个邮件,一个服务

分析过程中,可能有些专业术语表达不太准确,请各位见谅..如有分析不到位或错误的地方,欢迎指正。

样本: Phone_spy.apk

第五届安全开发者峰会(SDC 2021)议题征集正式开启!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (25)
雪    币: 947
活跃值: 活跃值 (25)
能力值: ( LV12,RANK:440 )
在线值:
发帖
回帖
粉丝
loongzyd 活跃值 10 2012-3-30 15:53
2
0
沙发!严重支持!先记下来了!
雪    币: 289
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
XiaosanAiq 活跃值 2012-3-30 16:08
3
0
强烈支持!
雪    币: 102
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
bk7477890 活跃值 2012-3-30 16:33
4
0
不错的分析,支持一下,这混淆的也太2了
雪    币: 117
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
cherryEx 活跃值 1 2012-3-30 16:46
5
0
先马克下。。。
雪    币: 172
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
windowsa 活跃值 2012-3-30 16:54
6
0
mark!!
雪    币: 1083
活跃值: 活跃值 (662)
能力值: ( LV12,RANK:480 )
在线值:
发帖
回帖
粉丝
熊猫正正 活跃值 9 2012-3-30 17:13
7
0
手机病毒没玩过,有时间得学习一下·~顶·~
雪    币: 1480
活跃值: 活跃值 (68)
能力值: ( LV15,RANK:670 )
在线值:
发帖
回帖
粉丝
cntrump 活跃值 13 2012-3-30 23:43
8
0
学习,不过手机没有 root ,它还能干嘛。。
在程序安装 的时候,系统会提示都有哪些权限。
雪    币: 262
活跃值: 活跃值 (12)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
hfade 活跃值 1 2012-4-9 11:35
9
0
分析得很清楚,问一下做这样的分析,使用的是哪些工具?
是 jd-gui,dex2jar,apktool 这些吗?
雪    币: 140
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
MixDebug 活跃值 1 2012-4-9 12:09
10
0
  mark,有意思啊~
雪    币: 142
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sins破解 活跃值 2012-4-9 12:22
11
0
安卓不懂,酱油路过
雪    币: 97
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
justFWD 活跃值 2012-4-10 11:15
12
0
感觉安卓的权限提示会越来越被忽视,如果很多软件都要类似一长串的权限提示,有多少用户还会去关心那些权限提示呢
雪    币: 290
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
feifeixiao 活跃值 2012-4-10 16:33
13
0
顶起。。。。。。。。。。
雪    币: 562
活跃值: 活跃值 (26)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
promsied 活跃值 4 2012-4-10 19:20
14
0
用0O混淆不给力啊
雪    币: 9
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
resetinglm 活跃值 2012-4-17 09:20
15
0
以后我得多注意这类病毒木马
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
ifgodie 活跃值 2012-4-17 16:37
16
0
触发机制是短信接收?这个也是个思路,不过涉及到消息优先级的问题。
雪    币: 98
活跃值: 活跃值 (12)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
pc小波 活跃值 1 2012-5-21 14:57
17
0
为什么我用jd-gui反编译出来,其中的汉字是乱码呢?
雪    币: 97
活跃值: 活跃值 (16)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
nence 活跃值 2012-5-23 21:03
18
0
很少见的Android木马分析 拜读了
雪    币: 202
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
xsisee 活跃值 2012-6-4 17:37
19
0
里面还隐藏了一个功能,就是记录发送到你指定的邮箱的同时也向作者发送一份。
雪    币: 204
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wuweizi 活跃值 2012-6-7 16:34
20
0
作者也辛苦啊就是没商业道德,很多短信还是有价值的

楼主分析的不错,希望看到别的程序分析
雪    币: 0
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Hello张 活跃值 2012-6-30 16:15
21
0
源码在这
http://www.eoeandroid.com/forum.php?mod=viewthread&tid=72694
雪    币: 187
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Matrix 活跃值 2012-8-22 17:14
22
0
谢谢,正需要这个
雪    币: 205
活跃值: 活跃值 (193)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zhengcai 活跃值 2012-10-8 11:43
23
0
好文章受益匪浅,希望楼主多多 发帖
雪    币: 793
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
happymhx 活跃值 2013-7-24 09:33
24
0
源码百度盘地址
http://pan.baidu.com/share/link?shareid=213831&uk=4061428830&fid=3854537151
雪    币: 192
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
时光小偷 活跃值 2013-7-24 10:05
25
0
典型的间谍软件啊
游客
登录 | 注册 方可回帖
返回