[原创]Android下载者分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]Android下载者分析

发表于: 2012-5-25 22:59 17841

[原创]Android下载者分析

yuansunxue 活跃值

2012-5-25 22:59

17841

一、  基本信息
样本大小：256139
样本md5：50836808a5fe7febb6ce8b2109d6c93a
样本sh256：ae7a20692250f85d7a2ed205994f2d26f2d695aef15a9356938454bccbbbd069

二、  简介
该样本是和需要root权限的合法软件打包在一起的，运行起来后会释放并加载两个包，当手机处于待机状态时，它会后台下载安装其他恶意的包

三、  样本分析
1、  AndroidManifest.xml分析
写文件权限：

很明显com.android.md5.Settings是病毒作者添加的服务用来启动恶意代码的：

2、  我们就从com.android.md5.Settings开始分析吧
看看其启动部分：

启动部分会调用Settings.1,Settings.1只有一个run函数，其会调用com.gamex.inset.A下面的函数首先检查flag 判断sdcard是否已经挂载是否有com.android.setting的包存在
如果已挂载且没有com.android.setting的包存在则设置flag为1
启动com.gamex.inset.C

不幸的是com.gamex.inset.C的run函数反编译出错，不知道各位大侠有没有什么好方法，对于我来说只有去读它对应的smali

对于smali我只贴关键点：
读取assets\logos.png

const-string v11, "logos.png"

invoke-virtual {v10, v11}, Landroid/content/res/AssetManager;->open(Ljava/lang/String;)Ljava/io/InputStream;

    aget-byte v10, v1, v5

    xor-int/lit8 v10, v10, 0x12

    int-to-byte v10, v10

    aput-byte v10, v0, v5

invoke-static {v10}, Lcom/gamex/inset/C;->a(Ljava/lang/String;)V

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

image1.png （3.81kb，420次下载）
image2.png （54.75kb，65次下载）
image3.png （33.35kb，427次下载）
image4.png （14.04kb，419次下载）
image5.png （31.61kb，416次下载）
image6.png （44.91kb，23次下载）
image7.png （10.47kb，414次下载）
image8.png （25.30kb，414次下载）
image9.png （23.88kb，417次下载）
image10.png （4.96kb，417次下载）
image11.png （21.92kb，414次下载）
image12.png （35.04kb，14次下载）
image13.png （26.92kb，425次下载）
image14.png （23.60kb，415次下载）
image15.png （10.54kb，414次下载）
image16.png （18.00kb，407次下载）
image17.png （22.26kb，410次下载）
image18.png （15.91kb，409次下载）
image19.png （60.39kb，23次下载）
image20.png （11.12kb，404次下载）
image21.png （2.53kb，408次下载）
image22.png （11.12kb，407次下载）
xxx.7z （223.02kb，140次下载）

收藏・14

免费・6

支持

最新回复 (10)
非虫雪币： 2307 活跃值： (1013) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 412 粉丝 129 关注私信	非虫 7 2 楼不太明白，是神奇的巧合还是其它原因... 2012-5-26 00:36 0
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 3 楼什么意思？123456 2012-5-28 11:32 0
dragonzjl 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	dragonzjl 4 楼好贴 2012-5-30 18:28 0
ToNS 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	ToNS 5 楼将解密后的文件写到/system/app/ComAndroidSetting.apk 进行加载他在加载时，会出现包管理器的权限提示吗？还是默默就安装了？ 2012-9-7 16:21 0
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 6 楼不会因为这个病毒是和需要root权限的合法软件捆绑在一起的 2013-1-8 20:00 0
赤子Anatta 雪币： 761 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 62 粉丝 0 关注私信	赤子Anatta 7 楼把网址还原的过程很模糊, 但是思路很精彩! 让我越来越想掌握python了! 我的工作也是分析安卓样本的病毒行为, 同时写分析报告, 不过每次在复杂一点的网址复原处卡壳, 每次都很残忍地忽略了这块... 现在看来,不能骗自己了! 很好的文章! 2013-1-16 16:55 0
lazywormm 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	lazywormm 8 楼 thks for share. 没分析过andriod平台的，看起来应该是在ECLIPSE下面的源码啊。。JAVA语言应该是。。 2013-3-13 17:46 0
荒野无灯雪币： 406 活跃值： (164) 能力值： ( LV12，RANK：250 ) 在线值：发帖 33 回帖 262 粉丝 4 关注私信	荒野无灯 5 9 楼感谢分享。没有分析过android 平台下的病毒，学习了。 2013-3-13 23:10 0
jackzhous 雪币： 19 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 1 关注私信	jackzhous 10 楼有样本吗？能否共享 2018-6-2 23:07 0
zjxxhk 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	zjxxhk 11 楼很厉害的样子 2018-6-26 08:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

yuansunxue

发帖

267

回帖

310

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
非虫雪币： 2307 活跃值： (1013) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 412 粉丝 129 关注私信	非虫 7 2 楼不太明白，是神奇的巧合还是其它原因... 2012-5-26 00:36 0
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 3 楼什么意思？123456 2012-5-28 11:32 0
dragonzjl 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	dragonzjl 4 楼好贴 2012-5-30 18:28 0
ToNS 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	ToNS 5 楼将解密后的文件写到/system/app/ComAndroidSetting.apk 进行加载他在加载时，会出现包管理器的权限提示吗？还是默默就安装了？ 2012-9-7 16:21 0
yuansunxue 雪币： 1024 活跃值： (240) 能力值： ( LV12，RANK：310 ) 在线值：发帖 26 回帖 267 粉丝 1 关注私信	yuansunxue 6 6 楼不会因为这个病毒是和需要root权限的合法软件捆绑在一起的 2013-1-8 20:00 0
赤子Anatta 雪币： 761 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 62 粉丝 0 关注私信	赤子Anatta 7 楼把网址还原的过程很模糊, 但是思路很精彩! 让我越来越想掌握python了! 我的工作也是分析安卓样本的病毒行为, 同时写分析报告, 不过每次在复杂一点的网址复原处卡壳, 每次都很残忍地忽略了这块... 现在看来,不能骗自己了! 很好的文章! 2013-1-16 16:55 0
lazywormm 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 10 粉丝 0 关注私信	lazywormm 8 楼 thks for share. 没分析过andriod平台的，看起来应该是在ECLIPSE下面的源码啊。。JAVA语言应该是。。 2013-3-13 17:46 0
荒野无灯雪币： 406 活跃值： (164) 能力值： ( LV12，RANK：250 ) 在线值：发帖 33 回帖 262 粉丝 4 关注私信	荒野无灯 5 9 楼感谢分享。没有分析过android 平台下的病毒，学习了。 2013-3-13 23:10 0
jackzhous 雪币： 19 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 1 关注私信	jackzhous 10 楼有样本吗？能否共享 2018-6-2 23:07 0
zjxxhk 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	zjxxhk 11 楼很厉害的样子 2018-6-26 08:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复