-
-
[原创]Android恶意样本WifiKillerpro.apk分析
-
发表于:
2021-6-12 10:14
16899
-
[原创]Android恶意样本WifiKillerpro.apk分析
Wifikillpro.apk——锁机软件,现在Android恶意程序包括远控、锁机、恶意读取通信录信息等,其中锁机是最常见的恶意样本之一,往往通过使用root将应用设置为系统应用或直接安装锁机等来实现。
锁机样本的工作原理如下图 所示:
我们在虚拟机上搭建的win7环境,如下图所示:(这里我们使用的是吾爱的win7系统)
我们使用奇安信情报系统作为沙箱,将APK拖入沙箱中进行分析(如下图所示):
我们可以得出软件是恶意的,其恶意行为包括锁住电源,获取手机的基本信息,这仅仅是一个初步的判断。
我们使用Mobsf框架对恶意样本进行了一个初步的静态分析(如下图所示):
我们将软件运行起来,并分别未授权root(如图1所示)和授权root(如图2所示)
我们发现程序没有进行加壳处理,我们直接找到入口点进行分析
我们看到主代码端,然后开始对代码段进行分析(如图所示):
我们通过静态分析,可以知道恶意样本就是从data.jar中读取恶意程序,然后释放。与此同时,通过申请root权限,将系统应用挂载,然后将释放的cia.apk存放到恶意应用中,完成一个开机锁屏的情况。
经过我们上面的分析,从程序的入口点开始分析,我们现在想通过字符串进行定位,但是发现搜索不到,我们则推断关键的字符串混淆严重,或放在so层。
我们将so文件拖入IDA中,找入口点:静态注册(java_)和动态注册(jni_)
此时我们发现错误,经过分析应该是程序没有开启调试开关或存在反调试策略,我们将调试开关打开。我们在AndroidManifest.xml文件中加入debuggable=true,然后重打包。但是遇到一些有重打包检测的apk,我们可以尝试用mprop模块去设置ro.debuggable的值,我们也可以通过定制android源码的方式,不过这个就比较复杂了。
我们分析可能程序存在反Android Studio调试,我们将使用JEB继续动态调试。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2022-10-8 21:35
被随风而行aa编辑
,原因: 格式问题