| | | | | | | | | 该程序以正版官方包为基础进行修改,在原包中添加恶意代码,利用系统漏洞获取管理员权限,恶意程序能够静默下载、安装推广应用,它可能会损坏手机或泄漏个人隐私。 |
说明:图片在本地很清楚但上传后好像看不太清楚 ,可以下载附件,附件中有图片清楚的文档。 因语言组织能力比较差,分析过程语言表述比较稀少,看分析流程即可。 Android木马” sysphones”分析报告 1. 基本信息 病毒名称:xxxx.xxxx.sysphones 样本MD5:e52ac97a64315592b21b573ccda28979 样本包名:com.baoruan.navigateouy 样本证书串号:53507a6c 2. 特征描述 该程序利用系统漏洞获取管理员权限,能够静默下载、安装推广应用,它可能会损坏手机或泄漏个人隐私。 一、 样本行为分析:
软件安装运行:
图1 图2 图3 图4 如图1所示,安装该病毒软件后桌面上出现正常的桌面精灵图标。运行病毒样时后台会偷偷获取root权限,如图2所示。病毒打开后会正常显示桌面精灵的应用界面,如图3所示。但病毒应用会在后台启动恶意代码,在无任何提示的情况下私自下载大量推广应用并静默安装,如图4所示。 二、 样本权限分析: 官方渠道下载的正版桌面精灵应用所需权限,如下图: 图5 病毒应用篡改官方包后增加的危险权限,如下图: 图6 三、 样本代码分析: 病毒应用入口com.baoruan.navigate.ui.MainActivity,如下图所示: 病毒程序启动onCreate方法,在onCreate函数中调用o函数,从而激活私自下载和静默安装代码。onCreate函数代码如下图: 函数o的部分代码,其中m函数被调用,通过m函数调用私自下载函数,如下图: 函数m调用下载函数的代码,如下图: 病毒应用实现推广软件下载功能的代码,如下图: 监听推广软件是否下载完成,下载完成则启动静默安装功能,代码如下图: 函数b根据不同的推广应用包名,开启不同的线程并调用静默安装代码,如下图: 在开启的线程中调用静默安装代码,并将要安装的包名路径做为参数传入,如下图: 函数a中调用获取root权限命令,非法获取root权限。进而实现静默安装功能,如下图: 结论: 此病毒通过修改正版官方包骗取户信任,用户在运行该病毒软件时,其会利用系统漏洞获取管理员权限,静默下载、安装推广应用,它可能会损坏手机或泄漏个人隐私,建议用户在安装和使用软件时如发现手机中不明原因的增加新应用,一定要警惕是否存在该类型恶意软件。 | 
