很老的一个样本,简单的分析下练手
样本地址:
链接:http://pan.baidu.com/s/1hrEO212 密码:j2ul
一.样本概述
样本主要行为:
该样本主要是窃取目标用户的短信,联系人,手机相关信息的App程序
程序安装后伪装成移动客户端
运行后需要激活设备管理器,防止被设备管理器删除
二.详细分析流程
1. 程序启动
2. 激活设备管理器
在低版本Android系统(小于4.0.3)激活设备管理器后会导致App通过设备管理无法删除
2. 解密配置信息
通过des解密后写配置信息
key为staker
还原后代码如下:
会生成一个明文的配置文件:
该程序的主要功能就是配置文件的所描述的信息
3.发送软件安装成功的短信到远程手机号
发送短信内容:
"软件安装完毕
识别码:868331018161094
型号:HUAWEI U9508
手机:Huawei
系统版本:4.1.1" 至 13482173247 发送短信内容 "62147483647"
至 13482173247
4. 启动的邮件任务会发送用户的敏感信息到指定邮箱
用户的敏感信息包括:
短信
联系人
发送的目标邮箱就是上面解密的邮箱
遍历所有短信:
获取所有联系人
发送所有短信息到指定邮箱
发送联系人
5. 设置情景模式为静音
4.1版本以及以后已弃用setVibrateSetting
6. 开机启动后立即启动服务
7. 当收到的短信是自己的号码,则操作配置信息和相关的数据库操作
短信操作和之前的操作类似
数据库相关信息如下(这是他自己建的一个数据库):
创建数据库
CREATE TABLE IF NOT EXISTS intercept_person(
'id' INTEGER PRIMARY KEY AUTOINCREMENT,
'modified_time' DATETIME DEFAULT (null),
'created_time' DATETIME,
'number' VARCHAr(40),
'name' VARCHAr(40))"
数据库路径:
/data/data/com.phone.stop/databases/phone_database
病毒分析的一般流程:
1. 使用行为监控软件进行大致行为监控
文件操作
网络操作
数据库
.....
针对不同平台的特点有针对性的进行监控
和Android相关的一些行为监控工具
zjdriod
droidbox https://github.com/pjlantz/droidbox
Inspeckage 基于xpose
在线文件监控网站
火眼(金山)
https://fireeye.ijinshan.com/
哈勃(腾讯)
https://habo.qq.com
文件B超(瀚海源,阿里巴巴)
https://b-chao.com/
VirusBook
https://www.virusbook.cn/
joesandbox
病毒在线扫描网站
http://www.virustotal.com/
http://virscan.org/
http://onlinelinkscan.com/
2.动静态结合对样本分析
根据上面的监控流程,有针对性的对病毒样本进行分析
主要确定样本的危害性
最终给出查杀方案
来自为知笔记(Wiz)
以上就是本篇文章【一个简单的监控木马分析手机监控软件「一个简单的监控木马分析」】的全部内容了,欢迎阅览 ! 文章地址:http://keair.bhha.com.cn/quote/7800.html
动态
相关文章
文章
同类文章
热门文章
栏目首页
网站地图
返回首页 康宝晨移动站 http://keair.bhha.com.cn/mobile/ , 查看更多