很老的一個樣本,簡單的分析下練手
樣本地址:
鏈接:http://pan.baidu.com/s/1hrEO212 密碼:j2ul
一.樣本概述
樣本主要行為:
該樣本主要是竊取目標用戶的短信,聯系人,手機相關信息的App程序
程序安裝后偽裝成移動客戶端
運行后需要激活設備管理器,防止被設備管理器刪除
二.詳細分析流程
1. 程序啟動
2. 激活設備管理器
在低版本Android系統(小於4.0.3)激活設備管理器后會導致App通過設備管理無法刪除
2. 解密配置信息
通過des解密后寫配置信息
key為staker
還原后代碼如下:
會生成一個明文的配置文件:
該程序的主要功能就是配置文件的所描述的信息
3.發送軟件安裝成功的短信到遠程手機號
發送短信內容:
"軟件安裝完畢\n識別碼:868331018161094\n型號:HUAWEI U9508 \n手機:Huawei \n系統版本:4.1.1" 至 13482173247 發送短信內容 "62147483647"
至 13482173247
4. 啟動的郵件任務會發送用戶的敏感信息到指定郵箱
用戶的敏感信息包括:
短信
聯系人
發送的目標郵箱就是上面解密的郵箱
遍歷所有短信:
獲取所有聯系人
發送所有短信息到指定郵箱
發送聯系人
5. 設置情景模式為靜音
4.1版本以及以后已棄用setVibrateSetting
6. 開機啟動后立即啟動服務
7. 當收到的短信是自己的號碼,則操作配置信息和相關的數據庫操作
短信操作和之前的操作類似
數據庫相關信息如下(這是他自己建的一個數據庫):
創建數據庫
CREATE TABLE IF NOT EXISTS intercept_person(
\'id\' INTEGER PRIMARY KEY AUTOINCREMENT,
\'modified_time\' DATETIME DEFAULT (null),
\'created_time\' DATETIME,
\'number\' VARCHAR(40),
\'name\' VARCHAR(40))"
數據庫路徑:
/data/data/com.phone.stop/databases/phone_database
病毒分析的一般流程:
1. 使用行為監控軟件進行大致行為監控
文件操作
網絡操作
數據庫
.....
針對不同平台的特點有針對性的進行監控
和Android相關的一些行為監控工具
zjdriod
droidbox https://github.com/pjlantz/droidbox
Inspeckage 基於xpose
在線文件監控網站
火眼(金山)
joesandbox
病毒在線掃描網站
2.動靜態結合對樣本分析
根據上面的監控流程,有針對性的對病毒樣本進行分析
主要確定樣本的危害性
最終給出查殺方案