前不久,網上爆出一個偽裝成微信的病毒,好久木有分析病毒了,於是拿來練下手。
該病毒安裝后的圖標如下圖所示:
打開該應用后,會提示激活管理員器:
激活后要求用戶添加銀行卡信息,包括姓名,身份證號,手機號等。
另外,我們通過AndroidManifest.xml文件發現其包名為:
通過以上信息我們基本上就可以猜測該偽裝應用就是一個竊取用戶銀行賬號及相關信息的病毒了。
反編譯該apk,發現該病毒被加固了。看到com.secapk.wrapper.ApplicationWrapper這個類基本就可以確定是用的“梆梆”加固了。
還好,網上有脫殼程序,果斷脫之:
將得到的odex文件反編譯成smali文件,再回編譯成dex文件(回編譯過程中如果出現錯誤,注釋掉錯誤部分就行了)。繼續轉成jar文件查看,這下牛鬼蛇神全出來了:
下面我們來進行詳細的分析。該app注冊了兩個廣播接收器,其中第一個是用來注冊設備管理器的。第二個廣播接收器用來監聽系統開機啟動、短信接收、應用安裝卸載等事件。
當監聽到有應用被卸載的時候,就會發送郵件。發送的內容包括用戶手機號碼、語音信箱號碼、設備ID、IMEI、IMSI、網絡運營商名稱等等隱私信息。
如果監聽到短信接收廣播,則會攔截此短信,同時獲取短信發送者、短信內容和短信接收時間以郵件形式發送給攻擊者。發送郵件的地址為:lanjiema@126.com,密碼為admin903。接收郵件的地址為:12114860@qq.com。
