-
-
[旧帖] [原创]Andorid.Trojan.fakeUpdate 0.00雪花
-
发表于: 2014-3-20 16:15
-
该木马属于独立个体,整个软件就是一个木马,不是嵌入式木马。
2. 木马特性:
该木马通常伪装成系统软件,比如:数据储存,com.android.update,SystemThread,帮助程序。
安装后无图标。
代码分析:
a) 软件启动。软件通过接收用户手机的开机启动、解锁屏幕、第三方广播的形式来启动软件。
(1) 通过接收android.intent.action.UnOrInstallReceiver广播
(2) 通过屏幕解锁广播。
(3) 通过开机启动广播。
b) 静默安装软件。通过pm install –r 命令安装软件。:
c) 静默卸载软件。通过pm uninstall命令安装软件。:
d) 调用静默安装或卸载。通过在UnOrInstallService服务中静默安装或卸载。
e) 启动服务。通过接收android.intent.action.UnOrInstallReceiver广播启动服务。
f) 触发安装广播。android.intent.action.UnOrInstallReceiver广播并不是该软件自己触发的,而是另一个软件来触发的——系统助手。系统助手通过联网获取要卸载的软件包名信息,并发送卸载广播通知上面的木马包协同卸载。安装广播方式相同,只是在传递install参数中添加了值。
(4)卸载软件广播。
(5)安装软件广播。
g) 联网获取需要卸载的软件信息。
h) 获取要卸载的软件包名,调用卸载广播。
i) 上传手机中已安装软件列表信息。
j) 上传的信息列表。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
