-
-
[原创]Trojan-Spy.AndroidOS.Zitmo.a病毒分析
-
发表于: 2012-7-4 09:19 18827
-
病毒名:Trojan-Spy.AndroidOS.Zitmo.a
病毒大小:202.62K
MD5:2dfccca5a9cdf207fb43a54b2194e368
病毒简介:这是一个伪装成“Android Security Suite Premium”安全软件的病毒,该病毒会获取被感染手机的短信息上传至远程服务器。
详细分析:
1:注册消息:
病毒注册并响应了3个消息,分别是:启动完成、监控拨出电话、接收短信,以便实现对应的功能。
注册服务:
实现服务的定时启动
2:获取的权限
权限 允许攻击者执行如下操作
android.permission.READ_PHONE_STATE 读取电话状态
android.permission.MODIFY_PHONE_STATE 修改电话状态
android.permission.BROADCAST_STICKY 允许一个程序广播常用intents
android.permission.PROCESS_OUTGOING_CALLS 允许程序监视、修改有的是关播出电话
android.permission.RECEIVE_BOOT_COMPLETED 开机自动启动
android.permission.UPDATE_DEVICE_STATS 更新设备状态
android.permission.INTERNAL_SYSTEM_WINDOW 允许打开窗口使用系统用户界面
android.permission.ADD_SYSTEM_SERVICE 允许程序发布系统级服务
android.permission.VIBRATE 允许访问振动设备
android.permission.SEND_SMS 允许发送短息
android.permission.RECEIVE_SMS 允许拦截接收短信
android.permission.READ_SMS 允许读短信数据库
android.permission.WRITE_SMS 允许修改短信数据库
android.permission.INTERNET 允许连接网络
android.permission.CHANGE_CONFIGURATION 允许一个程序修改当前设置,如本地化
android.permission.WAKE_LOCK 允许使用PowerManager的WakeLocks保持进程在休眠时从屏幕消失
android.permission.STATUS_BAR 允许一个程序扩展收缩在状态栏,android开发网提示应该是一个类似Windows Mobile中的托盘程序
android.permission.ACCESS_WIFI_STATE 允许程序访问Wi-Fi网络状态信息
android.permission.DEVICE_POWER 允许访问底层电源管理
android.permission.DISABLE_KEYGUARD 允许程序禁用键盘锁
android.permission.WRITE_APN_SETTINGS 允许程序写入API设置
android.permission.CHANGE_WIFI_STATE 允许程序改变Wi-Fi连接状态
android.permission.ACCESS_NETWORK_STATE 允许程序访问有关GSM网络信息
android.permission.CHANGE_NETWORK_STATE 允许程序改变网络连接状态
android.permission.BROADCAST_SMS 允许程序广播一条短信回执
android.permission.WRITE_SETTINGS 允许程序读取或写入系统设置
android.permission.WRITE_EXTERNAL_STORAGE 允许写SD卡
3:代码分析
伪装成安全软件的样子,打开需要获取激活码。激活码为“1”+手机IMEI号的前7位+“3”。
开机3分钟后自动启动服务:
此后每隔1500s发送一次报告
该程序能够接收控制命令,控制命令以接收到的信息的第一个字符为依据,进行相应操作:
如果接收到的短信以”#”开始,则获取短信信息,同时提取短信中的号码并发送报告。
如果接收到的短信以”/”开始,则更新号码并保存,同时提取短信中的号码并发送报告。
如果接收到的短信以”!”开始,则卸载软件,同时提取短信中的号码并发送报告。
如果接收到的短信以”,”开始,则清除控制信息,同时提取短信中的号码并发送报告。
发送报告的方式有两种:SMS方式和http方式
首先获取手机版本号,硬件制造商,版本字符串等信息,以SMS方式发送报告,格式为"Model:%s AC:%s H:%d AltC:%d V:%s Mf:%s/%s"。
以http方式发送,报告格式为“?to=%s&i=%s&m=%s&aid=%s&h=%s&v=%s”
即:http://androidversion.net/2/biwdr.php
获取收件箱中短信内容:
将短信发送给远程服务器的格式为: “&from=%s&text=%s”,如果是最后一条短信,则在参数后面加上&last=1
如果http请求失败,则将所有数据存入secsuite.db数据库中,表名为delay_data。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
赞赏
|
|
---|---|
|
源代码木有混淆吗
|
|
样本 ceb.zip
|
|
下载学习~多谢分享。
|
|
good job!
|
|
麻烦问下,原本的解压密码是多少呢?
|
|
看雪不是要求设密码为pediy吗?
|
|
手机病毒牛逼啊
会安卓开发好点 |
|
谢谢!搜集样本中
|
|
学习了。不错!!
|
|
对android分析感兴趣的同学可以私聊我,推荐工作哟,正规公司。发信息时注明"android分析",要求至少两篇原创分析,有一定难度....
|
|
http://program-analysis.oicp.net:8080/co-site/2012-12-18/2012-12-18.htm
|
|
哎,没看到你的留言啊,迟了!
|