首页
社区
课程
招聘
[原创]Android恶意样本WifiKillerpro.apk分析
发表于: 2021-6-12 10:14 16899

[原创]Android恶意样本WifiKillerpro.apk分析

2021-6-12 10:14
16899

        Wifikillpro.apk——锁机软件,现在Android恶意程序包括远控、锁机、恶意读取通信录信息等,其中锁机是最常见的恶意样本之一,往往通过使用root将应用设置为系统应用或直接安装锁机等来实现。

锁机样本的工作原理如下 所示:

我们在虚拟机上搭建的win7环境,如下图所示:(这里我们使用的是吾爱的win7系统)

我们使用奇安信情报系统作为沙箱,将APK拖入沙箱中进行分析(如下图所示):

我们可以得出软件是恶意的,其恶意行为包括锁住电源,获取手机的基本信息,这仅仅是一个初步的判断。

我们使用Mobsf框架对恶意样本进行了一个初步的静态分析(如下图所示):

我们将软件运行起来,并分别未授权root(如图1所示)和授权root(如图2所示)

我们发现程序没有进行加壳处理,我们直接找到入口点进行分析

我们看到主代码端,然后开始对代码段进行分析(如图所示):

我们通过静态分析,可以知道恶意样本就是从data.jar中读取恶意程序,然后释放。与此同时,通过申请root权限,将系统应用挂载,然后将释放的cia.apk存放到恶意应用中,完成一个开机锁屏的情况。

经过我们上面的分析,从程序的入口点开始分析,我们现在想通过字符串进行定位,但是发现搜索不到,我们则推断关键的字符串混淆严重,或放在so层。

我们将so文件拖入IDA中,找入口点:静态注册(java_)和动态注册(jni_

此时我们发现错误,经过分析应该是程序没有开启调试开关或存在反调试策略,我们将调试开关打开。我们在AndroidManifest.xml文件中加入debuggable=true,然后重打包。但是遇到一些有重打包检测的apk,我们可以尝试用mprop模块去设置ro.debuggable的值,我们也可以通过定制android源码的方式,不过这个就比较复杂了。

我们分析可能程序存在反Android Studio调试,我们将使用JEB继续动态调试。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2022-10-8 21:35 被随风而行aa编辑 ,原因: 格式问题
收藏
免费 10
支持
分享
打赏 + 1.00雪花
打赏次数 1 雪花 + 1.00
 
赞赏  风中奇缘aa   +1.00 2021/06/14
最新回复 (8)
雪    币: 964
活跃值: (409)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
不错不错,最近正在分析一个android恶意样本,大佬提供了一个不错的分析思路
2021-6-14 13:14
0
雪    币: 105
活跃值: (153)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不错哦 点赞
2021-6-15 15:55
0
雪    币: 1507
活跃值: (853)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
分析得好全面,并逐个分析释放的恶意文件
2021-6-16 18:44
0
雪    币: 1367
活跃值: (2121)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
6
郭老板牛蛙
2021-6-17 20:38
0
雪    币: 116
活跃值: (1012)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
如果是随机数 有没有网络传输数据 那恶意软件的制作者如何知道解锁密码
2021-6-18 02:06
0
雪    币: 7284
活跃值: (22080)
能力值: ( LV12,RANK:550 )
在线值:
发帖
回帖
粉丝
8
万里星河 如果是随机数 有没有网络传输数据 那恶意软件的制作者如何知道解锁密码
一般两种形式,有网络和无网络都可以,无网络一般把随机数的密钥值会存在本地的文件,恶意应用者会去要用户把文件发给他,从而获取密钥,解密。网络传输类则是可以通过申请密钥去获取。
2021-6-18 10:48
0
雪    币: 12
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
楼主分析的很全面,最近恰好在分析Android恶意软件,恰好借鉴借鉴思路
2021-6-18 10:51
0
游客
登录 | 注册 方可回帖
返回
//