Android病毒样本分析报告
文档名称 Android木马”sysphones”分析报告
文档版本 V1.0发布日期 2014.XX.XX
编写人 Andy
文档摘要 该程序以正版官方包为基础进行修改,在原包中添加恶意代码,利用系统漏洞获取管理员权限,恶意程序能够静默下载、安装推广应用,它可能会损坏手机或泄漏个人隐私。
说明:图片在本地很清楚但上传后好像看不太清楚 ,可以下载附件,附件中有图片清楚的文档。因语言组织能力比较差,分析过程语言表述比较稀少,看分析流程即可。Android木马” sysphones”分析报告1. 基本信息 病毒名称:xxxx.xxxx.sysphones样本MD5:e52ac97a64315592b21b573ccda28979样本包名:com.baoruan.navigateouy样本证书串号:53507a6c2. 特征描述该程序利用系统漏洞获取管理员权限,能够静默下载、安装推广应用,它可能会损坏手机或泄漏个人隐私。一、样本行为分析:
软件安装运行: 图1 图2 图3 图4如图1所示,安装该病毒软件后桌面上出现正常的桌面精灵图标。运行病毒样时后台会偷偷获取root权限,如图2所示。病毒打开后会正常显示桌面精灵的应用界面,如图3所示。但病毒应用会在后台启动恶意代码,在无任何提示的情况下私自下载大量推广应用并静默安装,如图4所示。二、样本权限分析:官方渠道下载的正版桌面精灵应用所需权限,如下图: 图5病毒应用篡改官方包后增加的危险权限,如下图: 图6三、样本代码分析:病毒应用入口com.baoruan.navigate.ui.MainActivity,如下图所示:病毒程序启动onCreate方法,在onCreate函数中调用o函数,从而激活私自下载和静默安装代码。onCreate函数代码如下图:函数o的部分代码,其中m函数被调用,通过m函数调用私自下载函数,如下图:函数m调用下载函数的代码,如下图:病毒应用实现推广软件下载功能的代码,如下图:监听推广软件是否下载完成,下载完成则启动静默安装功能,代码如下图:函数b根据不同的推广应用包名,开启不同的线程并调用静默安装代码,如下图:在开启的线程中调用静默安装代码,并将要安装的包名路径做为参数传入,如下图:函数a中调用获取root权限命令,非法获取root权限。进而实现静默安装功能,如下图:结论:此病毒通过修改正版官方包骗取户信任,用户在运行该病毒软件时,其会利用系统漏洞获取管理员权限,静默下载、安装推广应用,它可能会损坏手机或泄漏个人隐私,建议用户在安装和使用软件时如发现手机中不明原因的增加新应用,一定要警惕是否存在该类型恶意软件。 附件: 仅供学习参考 链接: http://pan.baidu.com/s/1i3svmfz 密码: cb3m解压密码:www.pd521.com 样本在附件:shutup: 很好很强大,谢谢分享~研究学习下~ 挺详细的资源,赞一个 谢谢分享,学习受教了 这个比较给力,赞一个。
页:
[1]