Android手機木馬病毒的基礎介紹

2014-07-24 10:54:21來源:FreebuF.COM作者:

本文介紹基于Android的手機惡意軟件,是一個基礎性的介紹,給新入門的人提供一個分析和工具指引。要分析的木馬是一個2013年的syssecApp.apk,這個木馬的分析能對Android惡意軟件有個大概了解。

本文介紹基于Android的手機惡意軟件,是一個基礎性的介紹,給新入門的人提供一個分析和工具指引。要分析的木馬是一個2013年的syssecApp.apk,這個木馬的分析能對Android惡意軟件有個大概了解。

基礎:

1 –Android應用基礎

Android是google開發(fā)基于Linux內核的開源的手機操作系統(tǒng),應用程序使用JAVA語言編寫并轉換成了Dalvik虛擬機,而虛擬機則提供了一個抽象的真實硬件,只要和操作系統(tǒng)的API符合程序都可以在其上運行。應用則需要Linux的用戶和組來執(zhí)行,所以目前所有的惡意軟件都需要獲得權限。

Android應用的格式是APK,是一種包含AndroidManifest.xml的 ZIP文件,媒體類文件實際代碼是classes.dex和一些其他的可選文件。XML提供Android系統(tǒng)的重要信息,比如用啟動應用程序時需要什么權限,只有這個文件中列出的權限才提供給該應用,否則返回失敗或空結果。classes.dex是Android應用程序實現(xiàn)的邏輯部分,是一個編譯代碼可由Dalvik虛擬機執(zhí)行,打包成jar,從而節(jié)約移動設備上的一些空間。

2 –分析工具

2.1Dexter

Dexter可以將Android應用上傳做分析,提供了包和應用元數(shù)據(jù)的介紹。包的依賴關系圖顯示了所有包的關系,可以快速打開列表顯示所有的class和功能。

2.2Anubis

Anubis也是一個WEB服務,應用在沙箱里運行,每個樣品相互獨立,來分析文件和網(wǎng)絡的活動。同時也提供一些靜態(tài)分析,包括權限XML在調用過程中的變化。

2.3 APKInspector

Apkinspector提供了很多工具,APK加載后可以選擇標簽來執(zhí)行其中的功能,帶有一個Java反編譯器JAD,能夠反編譯大多數(shù)類,但經常報錯。

2.4 Dex2Jar

可將dex 文件轉成 Java 類文件的工具,即使你是經驗豐富的逆向工程師,也可以考慮使用。

3 – 實例分析

3.1 Anubis

Anubis的顯著特點是,給出了應用所需權限的大名單:

14055236368853 (1)

截圖上包括了應用的部分權限。INTERNET權限是常見的游戲所需,用來在線統(tǒng)計跟蹤,開啟共享功能或者廣告。還有一些WAKE_LOCK、READ_PHONE_STATE用來讀取手機狀態(tài),防止在游戲中鎖屏。但READ_CONTACTS、    READ_HISTORY_BOOKMARKS則看起來就很奇怪,不像是一個游戲該干的事情。對127.0.0.1:53471的連接看起來也很奇怪。分析鏈接:http://anubis.iseclab.org/?action=result&task_id=1a6d8d21d7b0c1a04edb2c7c3422be72f&format=html

14055236439548 (1)

3.2 Dexter

包的依賴關系圖顯示共有四個?梢院鲆昫e.rub.syssec,它只包含空類的默認構造函數(shù)。

14055236449074 (1)

de.rub.syssec包括了一個叫做Amazed的游戲,比較特別的是amazedactiviy的onCreate方法,設置為每隔15秒重復鬧鐘。

1405523647992 (1)

第3個class包含的事件比較多。onBoot在啟動的時候就會進行鬧鈴,SmsReceiver和alarmReceiver則是真正的木馬,在任何一個短信到達的時候SmsReceiver會檢查里面是否包含有”bank”,如果是則使用abortBroadcast丟棄短信。

1405523650878 (1)

14055236529703

這意味著短信在手機上是看不到的。de.rub.syssec.neu有6個CLASS,最重要的一條是“Runner”,是實際的惡意代碼。“work”調用alarmReceiver來檢查設備是否連接互聯(lián)網(wǎng)。

1405523657843

如果在線,則調用“steal()”收集信息,添加到XML幫助的一個偽變量里。

14055236594440

14055236637813

根據(jù)API的調用列表,會收集信息:IMSI、SIM卡序列號、姓名、設備ID、用戶字典(自動補全)、聯(lián)系人、通話記錄、日歷、瀏覽器搜索記錄、瀏覽器收藏夾、發(fā)送和接收的短信、位置信息。

3.3 Emulator

Emulator證實這個APK確實有一個關于迷宮的游戲。但在輸出的日志里可以發(fā)現(xiàn)它其實做了很多事情,并試圖發(fā)送這些內容:

14055236669821

14055236682505

還有一些額外的信息包括安卓版本、IMEI、本地時間、steal()運行總量

3.3 分析用到的網(wǎng)站

http://anubis.iseclab.org/

http://dexter.dexlabs.org/

https://www.virustotal.com/

http://www.apk-analyzer.net/

http://www.visualthreat.com/

http://androidsandbox.net/reports.html

https://hackapp.com/

游戲不僅僅是個游戲,檢查你的游戲。

贊助商鏈接: