Android最新鎖屏病毒分析及解鎖


一、情況簡介
 
從去年開始PC端的敲詐者類病毒在不斷的爆發,今年年初的時候手機上也開始出現了敲詐者之類的病毒,對這類病毒很無語也是趨勢,因為很多時候病毒的產生是和金錢利益相關的。前天去吾愛破解論壇病毒樣本區看了看,有用戶反映中了Android敲詐者病毒,就花時間分析了一下。該病毒欺騙用戶是QQ空間刷贊的apk程序,誘導用戶安裝;一旦手機用戶安裝並且用戶的手機已經被Root,那么該用戶的手機就會中招,手機被鎖定。該病毒與以往的敲詐者病毒相比,采用了比較巧妙的繞過殺軟的小把戲。

 



 
二、樣本基本信息
 
文件名稱:名片贊系統-已破解.apk
文件大小:1317110 字節
文件類型:application/jar
樣本包名:com.q448870015.root
MD5: A79FAE7E0DAB0E7047A5FCBE7AC3F0AA
SHA1: AE5531089D79AAEBD4B01834C95781BF59A56A7A
 
 
三、樣本行為分析
 
1.經過分析和確認發現該病毒樣本程序經過了愛加密加固進行加密,要分析樣本必須先脫殼,使用DexExtractor工具將樣本的愛加密殼脫掉了。
 
 
2.樣本的真實包名為package="com.q448870015.root",樣本的主Activity為"com.q448870015.root.ui.InstallActivity"。
 
 
3.發送標准廣播"com.secneo.plugin.action.APP_STARTED"。
 


4.在用戶手機上執行"su"命令,用以判斷用戶的手機是否被root過或者是手機里面的busybox支持“su”命令。
 


5.打開資源文件夾assets下的"a"文件,將其復制拷貝,在當前程序的data目錄的files子目錄"/data/data/com.q448870015.root/files"下創建文件"/data/data/com.q448870015.root/files/a"。
 
 
 
6.打開資源文件夾assets下的"b"文件,將其復制拷貝,在當前程序的data目錄的files子目錄"/data/data/com.q448870015.root/files"下創建文件"/data/data/com.q448870015.root/files/b"。
 
 
7.打開資源文件夾assets下的"o"文件,將其復制拷貝,在當前程序的data目錄的files子目錄"/data/data/com.q448870015.root/files"下創建文件"/data/data/com.q448870015.root/files/o"。
 
 
8.使用提示語言欺騙用戶觸發惡意的病毒行為,鎖定用戶的手機(對應下面的行為1)。
 
 
9.行為1:無論用戶的手機root與否,直接創建線程在"su"環境下,執行下面的命令(如下圖)並且只有在用戶的手機已root的情況下,下面這些命令才會執行成功。
 
一旦命令執行成功,重啟手機后用戶的手機就會被鎖定。
 
 
 
 
 
 
 
10.行為2:無論用戶的手機root與否,,直接創建線程在"su"環境下,執行下面的命令(如下圖)並且只有在用戶的手機已root的情況下,下面這些命令才會執行成功。
 
一旦這些命令執行成功即可解除手機的鎖定。
 
 
 
11.這類敲詐者病毒樣本其實之前就出現過了,但是這個病毒樣本比較巧妙,采取了一些措施來避免殺軟的查殺。外殼病毒apk程序com.q448870015.root(名片贊系統-已破解)
 
使用愛加密加固加密了並且也不好判斷為病毒apk程序;真實的敲詐病毒apk程序(名片贊系統)其實就是/data/data/com.q448870015.root/files/b文件,被隱藏起來了。
 
 
12.步驟8中,只要用戶的手機一重啟,開機后用戶的手機就會被鎖定;因為真實敲詐的病毒apk程序就是上面提到MtkEditer.apk程序、apk程序顯示名稱為名片贊系統、圖標為QQ圖標,注冊了開機啟動廣播"android.intent.action.BOOT_COMPLETED";一旦用戶的手機開機就啟動病毒服務鎖定用戶的手機。
 
 
 
13.敲詐病毒程序MtkEditer.apk的包名為package="com.lzm20151007"。
 
 
 
 
14.鎖定用戶手機的病毒服務的行為分析--創建病毒服務時,獲取當前系統的時間,格式化時間為"yyyy年MM月dd日-HH:mm:ss"格式,
然后將格式化的當前系統時間發送到病毒作者的手機13457484650上。
 
 
15.鎖定用戶手機的病毒服務的行為分析--病毒服務啟動時,通過addView方法顯示一個全屏置頂的懸浮窗口,根據設置WindowManager.LayoutParams的flags屬性,
這個懸浮窗無法取消掉,導致用戶的手機無法正常使用。
 
 
16.等待用戶輸入正確的解除碼才能解鎖手機,但是經過分析發現解鎖手機並不難。
 
 
                                                   (序列號- 4488)* 4 = 解除碼
 
例如:
 
序列號為1285348,則  解除碼 = (1285348 - 4488)*4 = 5123440
 
 
被鎖定的手機成功解鎖。
 
 
 
 
17.殺掉這個病毒的方法,對於已經Root的手機中了該病毒,直接卸載可能卸載不掉病毒apk程序,因為病毒程序已經將病毒apk放到/system/app路徑下了,一般卸載apk的方法不好使。
 
手機解鎖以后,每次的生成的解鎖碼都不同,如果不刪除病毒apk程序,每次手機被鎖定以后,都需要再次計算手機解鎖碼。
 
 
 
病毒apk的清除方法1:
 
先解鎖手機,執行adb shell 進入手機系統,然后獲取最高權限su,再依次執行下面的這些命令,即可刪除病毒apk。
"mount -oremount,rw -t yaffs2 /dev/block/mtdblock3 /system"
"rm/system/app/MtkEditer.apk"
"rm/system/lib/libAlterData.so"
"rm/system/lib/libAlterData.so"
"rm -r/data/data/com.zxjw.mtkediter"
"mount -oremount,ro -t yaffs2 /dev/block/mtdblock3 /system"
 
 
病毒apk的清除方法2:
 
先解鎖手機,然后使用手機助手類軟件 (卸載系統內置軟件功能)將已經root的手機中的病毒apk程序MtkEditer.apk的包名為package="com.lzm20151007"的程序卸載掉。
 
 
千萬別忘了,包名為com.q448870015.root的apk病毒程序也要卸載掉。
 
===================================================================================================================
 
脫殼工具DexExtractor:https://github.com/bunnyblue/DexExtractor
 
該工具的作者已經編譯好了Android模擬器的鏡像文件system.img,鏡像文件版本是Android 4.4 (api 19)放在了百度雲盤里,可以自行下載。
作者已經放出了源碼,有興趣的愛好者可以根據自己的需求自行修改代碼,然后編譯定制自己的工具,編譯得到的是libdvm.so庫文件。
 
 
脫殼工具的使用方法:
 
1.將編譯好的libdvm.so庫文件替換掉手機系統[backcolor=rgba(0, 0, 0, 0.0392157)]/system/lib系統路徑下的libdvm.so庫文件。
 
2.將手機或者Android模擬器的里的相關文件替換為作者已經編譯好的system.img文件。
 
===================================================================================================================
 
 
 
DexHunter工具作者提供的貌似是Android 4.x源碼編譯后的Android模擬器的相關文件,如果要手機使用,需要打包成Rom,然后刷到手機里。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM