Android 恶意软件样本                 微步上传样本        

环境:

pixel8.0

工具：

JEB3.0

模拟运行:

将所有的需要的权限 全部都赋予(部分申请时候的截图)                        图-1

                                图-2

无障碍设置

                        图-3

将所有的权限全都同意后,发现应用列表没有这个app了

                   图-4

  图-5

进入设置->应用里面寻找这个app, 发现 还存在,但是却在应用列表找不到了,应该是做了隐藏行为                    图-6

验证,重新安装,发现已经存在了相同的程序

                                                                                                    图-7

开始分析样本:

分析样本得知,该app使用了360加固,先确定包名后

                                                图-8

包名为 com.app.android.core

                                    图-9

app申请的权限

                                图-10

脱壳后,确定恶意函数

                                                                            图-11

通过清单文件找到 第一个运行的activity

                                                                                                        图-12

onClick ->启动服务,  这里是校验权限

                                            图-13

权限flags 初始化为false ,在申请权限同意后,会变成true 让程序顺利的执行下去

图-14

从图13 可知在所有权限及邮箱都设置好之后,进入到start()函数

APP伪装成为其他的功能性app去让用户同意申请的权限后,进入openGPSSettings()

        图-15

                                                                                                          图-16

找到使APP隐藏的函数                                                                        图-17

直接使用  setComponentEnabledSetting() 方法进行隐藏

                                                                                图-18

app进行隐藏后,开启服务,进行信息获取,目标邮箱

图-19

图-20

图-21

至此,大概分析完毕,剩下获取代码就不分析了,在有权限的基础上,都差不了多少     删除恶意app 方法:               1.设置-> 存储->释放空间  可以找到恶意app 进行释放空间(删除)              2. pm uninstall packagename                             adb shell  reboot

样本见附件 解压密码:kanxue  

[培训]内核驱动高级班，冲击BAT一流互联网大厂工 作，每周日13:00-18:00直播授课