记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

xxshenqi木马分析报告

2014-09-19 03:22

 Post by drov

    七夕佳节,良辰美景,世人忙碌于恩恩爱爱之际,却爆发了一个蝗虫般的木马xxshenqi。在媒体渲染之下,此木马已是人尽皆知谈毒色变,因此AVL移动团队对此木马进行了详细分析。

样本概述:

样本情况如下:

vcq9t6LLzbj4tvHS4rT6wuvX99Xfo6zQucKp08O7p9L+y72ho82syrGjrLbx0uK0+sLr1/fV37/J0tTNqLn9t6LLzbbM0MXWuMHustnX3cS+wu3OsdTstszQxaGiyb6z/bbM0MWhoreiy822zNDFtcihozwvcD48cD48aW1nIHNyYz0="http://www.2cto.com/uploadfile/Collfiles/20140918/20140918115440354.png" data-ke-src="http://www.2cto.com/uploadfile/Collfiles/20140918/20140918115440354.png" alt="\" /> \

图1 伪装界面,安装子包并骗取用户隐私信息

样本分析

动态分析:

    安装并运行”XX神器”,从后台监控可以看到运行即向通讯录群发短信——

“看这个,http://cdn.yyupload.com/down/4279193/XXshenqi.apk”

    同时,通知恶意代码作者,短信已经群发。

\

点击安装,则会安装恶意子包,恶意子包安装成功后即启动,并后台向恶意代码作者发送短信,告知木马已经安装成功。

\

\

    界面上接着出现”XX神器”登录界面,由于用户无帐号密码,则需要点击注册,注册中需要用户输入帐号密码以及姓名和身份证号。

    用户输入身份证号、姓名后,即后台向恶意代码作者发送短信告知其用户的姓名和身份证号。泄漏用户隐私。

\ \

\

而恶意代码子包一直保持后台运行,监听用户短信,执行一系列窃取隐私的恶意行为。\

主包代码分析:

    主包结构其实很简单,其中关键代码在于获取联系人信息,并将联系人作为前缀发送传播短信。

    获取联系人信息:

\

    将联系人作为前缀发送传播短信:

\

恶意子包代码分析:

    对恶意子包——com.android.TrogoogleV1.0.apk进行分析,其代码结构十分简单,包含恶意包结构com/example/com/android/trogoogle以及发送邮件用的开源SDK——com/sun/mail。

    后台服务——ListenMessageService启动后,开始读取所有联系人信息、收发短信箱信息,同时向恶意代码作者汇报处理情况。当查询到恶意代码作者发送过来的短信时,根据短信指令执行相应操作——插入伪造短信、删除短信等。

\

\

    查询收信箱时,判断是否为恶意代码作者发送的短信,是,则根据短信内容执行相应命令操作。命令包括:伪造短信、发送link命令、启动email发送等。之后,将非恶意代码作者发送的短信全部以短信形式发送给恶意代码作者。同时,还可以通过email将用户所有的短信信息发送至恶意代码作者的邮箱。

\\\\ \

\

\

    恶意子包还在后台注册了监听短信的BroadcastRecvMessage用于监听、拦截短信。当发现为恶意代码作者指令短信时,拦截该短信并执行相应的命令。当监听到非指令类短信时,判断是否跟”淘宝”相关,如果相关则转发这条短信并重点提示恶意代码作者为重要信息,若相关则进行简单的转发。

\

\

\

\

\

总结

    样本原理非常简单,技术含量很低,但之所以能快速且大面积地传播,完全利用了广大用户安全意识薄弱的弱点,通过通信录联系人来做前缀来获取信任,降低了用户的安全意识。用户可以使用AVL Pro对此木马进行查杀。

    虽然最后如闹剧般的收场,作者被抓,只是一个大一学生的恶作剧。而此次事件也不由联想到当年的熊猫烧香,不过恶作需慎重,炫耀技术的同时也应该注意是否触犯了法律,该学生以及熊猫烧香作者被抓既是前车之鉴。

    而这种几乎看起来很容易被识别和戳破的事情,却硬生生的在一个体系中传播了开来,这也给国内移动安全行业敲响了警钟。

知识来源: www.2cto.com/Article/201409/335034.html

阅读:52679 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“xxshenqi木马分析报告”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云