注册
登录
样本发现日期:不详 样本类型:木马 壳信息:无 可能受到威胁的系统:安卓 病毒特征该病毒内嵌一个正常应用`土耳其字典`,并将自己伪装成该应用诱导用户下载安装,点击运行后会先运行病毒自身,并隐藏图标,然后释放安装原应用`土耳其字典`,并打开正常运行界面,用户很难察觉在安装时还运行了病毒 病毒危害该病毒启动后会在后台获取用户手机硬件数据,GPS位置,短信信息,通话记录,照片缩略图等数据,并在判断网络接通后进行压缩上传,该病毒一旦运行在用户手机中,将造成严重的隐私泄露,流量消耗等问题 详细分析病毒逻辑结构
初次运行会进行一次本地配置文件的初始化,保存各种参数信息,比如监控GPS的时间间隔`GPSLevel`,默认是`120`,也就是两个小时记录一次,在比如`ImageSize`,默认是`100`
在初始化这些变量之后会进行一次存储,写进配置文件
最后判断是否Root,如果未Root直接退出
如果不是第一次运行并且网络连通,则进行配置参数的更新,然后初始化参数
如果不是第一次运行并且网络不连通,则使用配置文件的数据进行参数的初始化
在进行参数的初始化完成后,设置隔两小时发送一个广播
接收这个的Receiver会启动MyGpsService,该Service主要负责同步`Login.xml`里基站部分的信息,如果基站信息变化则进行数据上传并更新本地配置文件
设置一个定时广播`"android.intent.action.STARTMYAP"`,用于定时启动病毒自身
.接下来会进行数据的获取并上传的操作,上传时的流程会结合本地配置文件以及获取的指令进行动态调整,上传的内容包括联系人列表,已安装APP应用信息,短信,通话记录,上网记录,图片缩略图等,收集到的信息会先进行编码,然后压缩,并在网络连通的情况下上传到服务器
跟入方法`GetInfo()`分析都获取了哪些数据 首先是关于硬件的各种参数以及系统版本的一系列信息
受害者手机当前所连接的基站信息
受害者手机当前所连接的WiFi信息
以及GPS位置信息
在获取这些数据后会进行压缩处理、
然后编码
压缩后进行上传,并将上传结果写进配置文件
在最后还有一个对指令的解析操作,当第n次运行的时候,作者会通过回传的指令来控制配置文件,而配置文件动态控制数据的获取流程,从而有针对性的获取受害者手机数据
在运行完病毒的代码段后,会创建一个新线程`MyThreadStart`,该线程的作用是将原APK从assets文件夹中读取出来进行安装
同时该线程中还会检测是否安装了该应用,如果检测到该应用,则跳过安装直接打开应用
最后隐藏图标
安全建议 1. 使用正规的应用中心作为下载渠道,不安装来路不明的应用 2. 安装专业的手机安全软件,定期杀毒,远离病毒威胁 |
| 本文出处: http://www.toutiao.com/i6476571444217119246/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
