分析思路
-
關注點1:AndroidManifest.xml是Android應用的入口文件,包含有APP服務的權限、廣播和啟動位置。
-
關注點2:涉及到修改系統的函數,setWifiEnabled()、InstallPackage()。
1.樣本概況
在Android 7.0的系統里捕獲到這個APK包。但不確定是否是病毒。通過Android模擬器安裝這個APK,確認這個APK只適用於android 4.5以上的系統才可運行。然后通過靜態反編譯技術對APK分析發現該APP可以變更手機Wifi狀態和安裝APK包。
1.1 樣本信息
病毒名稱:ManagedProvisioning.apk
MD5:7adda1698e55d0904c96cb7c1e2a9f38
版本信息:Ver:7.0(24) SDK:24 TargetSDK:24
病毒主要行為:變更WIFI狀態,安裝APK包
1.2 測試環境及工具
Android版本:Android 4.0、Android 4.5
分析工具:AndroidKiller、JEB
2.具體行為分析
2.1 主要行為
主要行為結構圖
2.1.1 惡意程序對用戶造成的危害
WifiInfo變更Wifi狀態
代碼中通過setWifiEnabled()函數修改Wifi狀態
圖1
InstallPackageTask安裝APK包
代碼中通過installPackage()函數修改安裝本地的APK
圖2
2.1.2 惡意程序在Androidmanifest.xml中注冊的惡意組件
(1)權限相關()
// 允許應用程序安裝android包
android.permission.INSTALL_PACKAGES
// 允許應用程序啟用或停用其他應用程序組件
android.permission.CHANGE_COMPONENT_ENABLED_STATE
// 允許應用程序更改WIFI狀態
android.permission.CHANGE_WIFI_STATE
// 允許應用程序將手機系統恢復為出廠設置
android.permission.MASTER_CLEAR
// 開機時自動啟動
android.permission.RECEIVE_BOOT_COMPLETED
// 允許應用程序修改系統設置方面的數據
android.permission.WRITE_SETTINGS
// 允許應用程序修改系統的安全設置數據
android.permission.WRITE_SECURE_SETTINGS
(2)服務/廣播
創建服務名為:
1)ProfileOwnerProvisioningService
2)DeviceOwnerProvisioningService
2.2 惡意代碼分析
2.2.1 惡意程序的代碼分析片段
AddWifiNetworkTask通過setWifiEnabled()函數變更Wifi狀態
圖1
WifiInfo通過setWifiEnabled()函數變更Wifi狀態
圖2
WifiInfo獲取Wifi安全類型、Wifi密碼
圖3
InstallPackageTask通過InstallPackage()函數安裝APK包
圖4
DownloadPackageTask保存的下載路徑為
/download_cache/managed_privisioning_downloaded_app_XXXX.apk
圖5
3.總結
鑒於該APK有HUAWEI公司的簽名,且功能用於設置Wifi狀態與安裝APK包,無法判斷是否為惡意病毒。