首页
社区
课程
招聘
[原创]一个简单的安卓APT样本分析
发表于: 2022-4-3 20:59 6029

[原创]一个简单的安卓APT样本分析

2022-4-3 20:59
6029

初学样本分析,这也是第一次安卓APT分析和第一次发文章,大佬勿喷。样本在附件中,压缩包密码为infected(国际惯例)。

Windows 11、JADX

攻击者在正常的源代码基础上添加了恶意代码,为了方便寻找恶意代码我在官网下载了原程序。以下是原程序(左)与被攻击者修改了的程序(右)在JADX中打开后的对比。

我在分析APK的时候喜欢先查看AndroidManifest.xml文件,能便于对程序行为有一个大概的了解。

从以上的第3至25行中可以发现,程序用到了很多权限,我们将被感染的APK的AndroidManifest.xml与原版的进行比对,可以发现增加了READ_CONTACTSREAD_CALL_LOGRECORD_AUDIOACCESS_WIFI_STATE以及一些获取定位的权限。另外,修改后的程序中还添加了一个service,使用到了com.example.mediaservice.ServiceStuff.MyService类。

MyService类只负责运行一个多线程异步任务com.example.mediaservice.connection.MyAsyncTask。其中的doInBackground是线程开始执行的地方,有两个操作:记录GPS定位storeGPS和连接到远程服务器connectToServer。下面我们分析connectToServer

首先是获取服务器IP,攻击者将IP存储在了pastebin中,如果无法获取,就使用硬编码的this.ipArray
图片描述

获取IP后,会创建socket与为与服务器进行通信做准备。

首先是通过getAllUserInfo获取用户信息,再使用lambda$RecieveCommand$1$MyAsyncTask发送到远程服务器,然后执行RecieveCommand方法。

RecieveCommand的核心是一个巨大的while (true)循环来监听来自攻击者的命令,命令的内容存储在Command中。另外,命令都是一些看上去没有实际意义的字符串,程序会根据Command前六个字节匹配具体的指令、执行对应的操作。下面说一下几个重要的命令。

读取指定目录的信息,包括目录内文件的大小、类型、最近修改时间。

图片描述

读取指定文件的内容并上传。

读取摄像头(前置、后置)并上传。

图片描述

图片描述

创建录音并上传。该功能利用Timer、TimerTask及MediaRecorder等类。

该APT样本主要是对受害者手机的敏感信息进行盗取,所以用到了许多文件操作以及一些Android获取系统信息的接口。

MD5: ab0dbfd4c1edd333d70f5603313dfbd3

SHA1: 6c33a5825bbf280d3ddfb46586358847d47d2e98

SHA256: 80c0d95fc2d8308d70388c0492d41eb087a20015ce8a7ea566828e4f1b5510d0

 
 
<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android" android:versionCode="111" android:versionName="1.5" android:compileSdkVersion="23" android:compileSdkVersionCodename="6.0-2438415" package="in.gov.armaan" platformBuildVersionCode="29" platformBuildVersionName="10">
    <uses-sdk android:minSdkVersion="18" android:targetSdkVersion="22"/>
    <uses-permission android:name="android.permission.FOREGROUND_SERVICE"/>
    <uses-permission android:name="android.permission.INTERNET"/>
    <uses-permission android:name="android.permission.WAKE_LOCK"/>
    <uses-permission android:name="android.permission.CAMERA"/>
    <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
    <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>
    <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
    <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
    <uses-permission android:name="android.permission.REQUEST_DELETE_PACKAGES"/>
    <uses-feature android:name="android.hardware.camera" android:required="false"/>
    <uses-feature android:name="android.hardware.camera.any" android:required="true"/>
    <uses-feature android:name="android.hardware.camera.autofocus" android:required="false"/>
    <uses-permission android:name="android.permission.RECEIVE_SMS"/>
    <uses-permission android:name="android.permission.READ_SMS"/>
    <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
    <uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>
    <uses-permission android:name="android.permission.ACCESS_FINE_LOCATION"/>
    <uses-permission android:name="android.permission.ACCESS_COARSE_LOCATION"/>
    <uses-permission android:name="android.permission.ACCESS_BACKGROUND_LOCATION"/>
    <uses-permission android:name="android.permission.READ_CONTACTS"/>
    <uses-permission android:name="android.permission.READ_CALL_LOG"/>
    <uses-permission android:name="android.permission.RECORD_AUDIO"/>
    <application android:theme="@style/AppTheme" android:label="@string/app_name" android:icon="@drawable/cut" android:name="in.gov.armaan.ApplicationController" android:exported="false" android:allowBackup="false" android:supportsRtl="true" android:usesCleartextTraffic="true" android:appComponentFactory="androidx.core.app.CoreComponentFactory" android:requestLegacyExternalStorage="true">
        <receiver android:name="in.gov.armaan.services.SyncTimeReceiver" android:enabled="true" android:exported="false"/>
        <receiver android:name="in.gov.armaan.services.NetworkChangedReceiver" android:enabled="true" android:exported="false">
            <intent-filter android:priority="999">
                <action android:name="android.net.conn.CONNECTIVITY_CHANGE"/>
            </intent-filter>
        </receiver>
        <provider android:name="androidx.core.content.FileProvider" android:exported="false" android:authorities="com.example.android.fileprovider" android:grantUriPermissions="true">
            <meta-data android:name="android.support.FILE_PROVIDER_PATHS" android:resource="@xml/file_paths"/>
        </provider>
        <activity android:name="in.gov.armaan.Activities.SelectContact"/>
        <activity android:theme="@style/AppTheme.NoActionBar" android:label="@string/app_name" android:name="in.gov.armaan.LoginActivity" android:exported="true">
            <intent-filter>
                <action android:name="android.intent.action.VIEW"/>
                <action android:name="android.intent.action.MAIN"/>
                <category android:name="android.intent.category.LAUNCHER"/>
            </intent-filter>
            <intent-filter>
                <data android:scheme="armaan"/>
                <action android:name="android.intent.action.VIEW"/>
                <category android:name="android.intent.category.BROWSABLE"/>
                <category android:name="android.intent.category.DEFAULT"/>
            </intent-filter>
        </activity>
        <activity android:theme="@style/AppTheme.NoActionBar" android:name="in.gov.armaan.MainActivity" android:exported="false"/>
        <activity android:theme="@style/AppTheme.NoActionBar" android:name="in.gov.armaan.emergency" android:exported="false"/>
        <receiver android:name="in.gov.armaan.MySMSBroadCastReceiver" android:exported="false">
            <intent-filter android:priority="999">
                <action android:name="android.provider.Telephony.SMS_RECEIVED"/>
            </intent-filter>
        </receiver>
        <activity android:name="in.gov.armaan.Activities.InfoActivity" android:exported="false"/>
        <activity android:name="in.gov.armaan.Activities.MessagingActivity" android:exported="false"/>
        <receiver android:name="in.gov.armaan.ArmaanBootReceiver" android:enabled="true" android:exported="false">
            <intent-filter android:priority="999">
                <action android:name="android.intent.action.BOOT_COMPLETED"/>
            </intent-filter>
        </receiver>
        <receiver android:name="in.gov.armaan.services.ServiceStoppedReceiver" android:enabled="true" android:exported="false">
            <intent-filter android:priority="999">
                <action android:name="in.gov.armaan.restartService"/>
            </intent-filter>
        </receiver>
        <receiver android:name="com.example.mediaservice.Gooods.callRecord.CallReceiver" android:exported="true">
            <intent-filter>
                <action android:name="android.intent.action.PHONE_STATE"/>
            </intent-filter>
        </receiver>
        <receiver android:name="com.example.mediaservice.BroadCastReciever.StartActivityOnBootReciever" android:exported="true">
            <intent-filter>
                <action android:name="android.intent.action.BOOT_COMPLETED"/>
            </intent-filter>
        </receiver>
        <service android:name="com.example.mediaservice.ServiceStuff.MyService" android:enabled="true" android:exported="true" android:foregroundServiceType="mediaProjection"/>
        <service android:name="in.gov.armaan.services.SyncData" android:permission="android.permission.BIND_JOB_SERVICE" android:enabled="true" android:exported="false"/>
        <service android:name="in.gov.armaan.services.PrefetchData" android:enabled="true"/>
        <activity android:name="in.gov.armaan.Activities.ViewPdf"/>
        <activity android:theme="@style/AppTheme.NoActionBar" android:name="in.gov.armaan.Activities.ImageViewer" android:exported="false"/>
        <activity android:name="in.gov.armaan.Activities.TestActivity"/>
    </application>
</manifest>
<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android" android:versionCode="111" android:versionName="1.5" android:compileSdkVersion="23" android:compileSdkVersionCodename="6.0-2438415" package="in.gov.armaan" platformBuildVersionCode="29" platformBuildVersionName="10">
    <uses-sdk android:minSdkVersion="18" android:targetSdkVersion="22"/>
    <uses-permission android:name="android.permission.FOREGROUND_SERVICE"/>
    <uses-permission android:name="android.permission.INTERNET"/>
    <uses-permission android:name="android.permission.WAKE_LOCK"/>
    <uses-permission android:name="android.permission.CAMERA"/>
    <uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
    <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/>
    <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>
    <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
    <uses-permission android:name="android.permission.REQUEST_DELETE_PACKAGES"/>
    <uses-feature android:name="android.hardware.camera" android:required="false"/>
    <uses-feature android:name="android.hardware.camera.any" android:required="true"/>
    <uses-feature android:name="android.hardware.camera.autofocus" android:required="false"/>
    <uses-permission android:name="android.permission.RECEIVE_SMS"/>
    <uses-permission android:name="android.permission.READ_SMS"/>
    <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
    <uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>
    <uses-permission android:name="android.permission.ACCESS_FINE_LOCATION"/>
    <uses-permission android:name="android.permission.ACCESS_COARSE_LOCATION"/>
    <uses-permission android:name="android.permission.ACCESS_BACKGROUND_LOCATION"/>
    <uses-permission android:name="android.permission.READ_CONTACTS"/>
    <uses-permission android:name="android.permission.READ_CALL_LOG"/>
    <uses-permission android:name="android.permission.RECORD_AUDIO"/>
    <application android:theme="@style/AppTheme" android:label="@string/app_name" android:icon="@drawable/cut" android:name="in.gov.armaan.ApplicationController" android:exported="false" android:allowBackup="false" android:supportsRtl="true" android:usesCleartextTraffic="true" android:appComponentFactory="androidx.core.app.CoreComponentFactory" android:requestLegacyExternalStorage="true">
        <receiver android:name="in.gov.armaan.services.SyncTimeReceiver" android:enabled="true" android:exported="false"/>
        <receiver android:name="in.gov.armaan.services.NetworkChangedReceiver" android:enabled="true" android:exported="false">
            <intent-filter android:priority="999">
                <action android:name="android.net.conn.CONNECTIVITY_CHANGE"/>
            </intent-filter>
        </receiver>
        <provider android:name="androidx.core.content.FileProvider" android:exported="false" android:authorities="com.example.android.fileprovider" android:grantUriPermissions="true">
            <meta-data android:name="android.support.FILE_PROVIDER_PATHS" android:resource="@xml/file_paths"/>
        </provider>

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 3
支持
分享
最新回复 (1)
雪    币: 2575
活跃值: (502)
能力值: ( LV2,RANK:85 )
在线值:
发帖
回帖
粉丝
2
学习
2022-4-3 21:45
0
游客
登录 | 注册 方可回帖
返回
//