首页
社区
课程
招聘
[原创]Trojan-Spy.AndroidOS.Zitmo.a病毒分析
发表于: 2012-7-4 09:19 18827

[原创]Trojan-Spy.AndroidOS.Zitmo.a病毒分析

2012-7-4 09:19
18827

病毒名:Trojan-Spy.AndroidOS.Zitmo.a
病毒大小:202.62K
MD5:2dfccca5a9cdf207fb43a54b2194e368
病毒简介:这是一个伪装成“Android Security Suite Premium”安全软件的病毒,该病毒会获取被感染手机的短信息上传至远程服务器。




详细分析:
1:注册消息:
病毒注册并响应了3个消息,分别是:启动完成、监控拨出电话、接收短信,以便实现对应的功能。
  
注册服务:
实现服务的定时启动


2:获取的权限
权限        允许攻击者执行如下操作
android.permission.READ_PHONE_STATE        读取电话状态
android.permission.MODIFY_PHONE_STATE        修改电话状态
android.permission.BROADCAST_STICKY        允许一个程序广播常用intents
android.permission.PROCESS_OUTGOING_CALLS        允许程序监视、修改有的是关播出电话
android.permission.RECEIVE_BOOT_COMPLETED        开机自动启动
android.permission.UPDATE_DEVICE_STATS        更新设备状态
android.permission.INTERNAL_SYSTEM_WINDOW        允许打开窗口使用系统用户界面
android.permission.ADD_SYSTEM_SERVICE        允许程序发布系统级服务
android.permission.VIBRATE        允许访问振动设备
android.permission.SEND_SMS        允许发送短息
android.permission.RECEIVE_SMS        允许拦截接收短信
android.permission.READ_SMS        允许读短信数据库
android.permission.WRITE_SMS        允许修改短信数据库
android.permission.INTERNET        允许连接网络
android.permission.CHANGE_CONFIGURATION        允许一个程序修改当前设置,如本地化
android.permission.WAKE_LOCK        允许使用PowerManager的WakeLocks保持进程在休眠时从屏幕消失
android.permission.STATUS_BAR        允许一个程序扩展收缩在状态栏,android开发网提示应该是一个类似Windows Mobile中的托盘程序
android.permission.ACCESS_WIFI_STATE        允许程序访问Wi-Fi网络状态信息
android.permission.DEVICE_POWER        允许访问底层电源管理
android.permission.DISABLE_KEYGUARD        允许程序禁用键盘锁
android.permission.WRITE_APN_SETTINGS        允许程序写入API设置
android.permission.CHANGE_WIFI_STATE        允许程序改变Wi-Fi连接状态
android.permission.ACCESS_NETWORK_STATE        允许程序访问有关GSM网络信息
android.permission.CHANGE_NETWORK_STATE        允许程序改变网络连接状态
android.permission.BROADCAST_SMS        允许程序广播一条短信回执
android.permission.WRITE_SETTINGS        允许程序读取或写入系统设置
android.permission.WRITE_EXTERNAL_STORAGE        允许写SD卡

3:代码分析
伪装成安全软件的样子,打开需要获取激活码。激活码为“1”+手机IMEI号的前7位+“3”。



开机3分钟后自动启动服务:


此后每隔1500s发送一次报告

该程序能够接收控制命令,控制命令以接收到的信息的第一个字符为依据,进行相应操作:
如果接收到的短信以”#”开始,则获取短信信息,同时提取短信中的号码并发送报告。

如果接收到的短信以”/”开始,则更新号码并保存,同时提取短信中的号码并发送报告。

如果接收到的短信以”!”开始,则卸载软件,同时提取短信中的号码并发送报告。

如果接收到的短信以”,”开始,则清除控制信息,同时提取短信中的号码并发送报告。

发送报告的方式有两种:SMS方式和http方式
首先获取手机版本号,硬件制造商,版本字符串等信息,以SMS方式发送报告,格式为"Model:%s AC:%s H:%d AltC:%d V:%s Mf:%s/%s"。
  

以http方式发送,报告格式为“?to=%s&i=%s&m=%s&aid=%s&h=%s&v=%s”




即:http://androidversion.net/2/biwdr.php
获取收件箱中短信内容:

将短信发送给远程服务器的格式为: “&from=%s&text=%s”,如果是最后一条短信,则在参数后面加上&last=1
  

如果http请求失败,则将所有数据存入secsuite.db数据库中,表名为delay_data。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 6
支持
分享
最新回复 (12)
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
源代码木有混淆吗
2012-7-4 14:10
0
雪    币: 118
活跃值: (106)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
3
样本 ceb.zip
上传的附件:
2012-7-4 16:04
0
雪    币: 31
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
下载学习~多谢分享。
2012-7-5 17:54
0
雪    币: 296
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
good job!
2012-7-5 22:42
0
雪    币: 231
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
麻烦问下,原本的解压密码是多少呢?
2012-7-6 00:08
0
雪    币: 118
活跃值: (106)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
看雪不是要求设密码为pediy吗?
2012-7-6 10:21
0
雪    币: 18
活跃值: (430)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
8
手机病毒牛逼啊
会安卓开发好点
2012-7-11 18:22
0
雪    币: 190
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
谢谢!搜集样本中
2012-8-22 17:18
0
雪    币: 28
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
学习了。不错!!
2012-8-28 16:26
0
雪    币: 632
活跃值: (93)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
11
对android分析感兴趣的同学可以私聊我,推荐工作哟,正规公司。发信息时注明"android分析",要求至少两篇原创分析,有一定难度....
2012-8-30 17:28
0
雪    币: 190
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
http://program-analysis.oicp.net:8080/co-site/2012-12-18/2012-12-18.htm
2013-3-11 16:21
0
雪    币: 118
活跃值: (106)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
13
哎,没看到你的留言啊,迟了!
2013-3-15 11:37
0
游客
登录 | 注册 方可回帖
返回
//