木马病毒之10086
一、 样本概况
1.1 样本信息
文件名称:10086.apk
文件类型:application/jar
样本包名:iuxkikw.zkjaksj.jhyvu
样本大小:31.3KB
MD5:C2CD6ABCB62A8DF958049ACFFA204392
SHA1:DE9BDBF724E6ADF9BFE1BED7047B176851B5AE74
病毒行为:拦截短信、删除短信。
1.2 测试环境及工具
测试环境:夜神模拟器 V_3.8.3.1
工具:Jeb、AndroidKiller
1.3 分析目标
1、 病毒运行的具体方式
2、 查杀病毒
二、 具体行为分析
将样本文件安装到夜神模拟器中,双击运行文件。出现激活任务管理器的请求。点击激活,提示程序停止运行。
但是通过打开设置,发现程序在后台依然运行。
将APK文件拖到AndroidKiller中,等待反编译结束,发现该应用程序创建了一个活动,两个广播和一个服务,并且获取到了如下敏感权限。
| 权限 | 含义 |
|---|---|
| android.permission.WRITE_SMS | 编辑短信和彩信 |
| android.permission.SEND_SMS | 发送短信 |
| android.permission.READ_SMS | 读取短信和彩信 |
| android.permission.RECEIVE_SMS | 接收短信 |
| android.permission.RECEIVE_BOOT_COMPLETED | 开机自启 |
| android.permission.READ_PHONE_STATE | 获取手机状态和身份 |
通过观察AndroidManifest.xml文件发现,在这个文件中静态注册了两个广播。
| 广播 | 功能 |
|---|---|
| com.fhgfd.heee.kc | 激活设备管理器 |
| com.fhgfd.heee.kd | 接收短信、开机自启、用户唤醒机器、添加包、移动包 |
利用Jeb打开样本文件,进行分析。可以看到,在onCreate函数中首先对手机的型号进行了判断。如果是Nexus型号的手机那么就退出,不进行操作。
可以看到,如果手机型号不是Nexus的话,程序首先开启了一个服务。传入了一个kse的类,跟进去看一下。首先看一下onCreate这个方法,在这个方法中首先注册了一个接受信息的广播,并且设置了优先级。
然后分析,onReceive方法,在这个方法中通过拦截短信,判断短信是不是作者发的。如果不是,那么通过kapi.s这个方法发给作者。如果是,给作者提示有没有发送成功,短信格式正不正确。
最后通过调用,kse.this.o这个方法用来检测短信收件箱有没有发生改变。点进去进行详细分析。通过获取短信的收件箱,然后调用Change方法进行监控。首先获取收件箱短信的序号。然后通过获取发件人,以及内容。判断这是不是一个有效的短信。最后通过调用delete函数删除短信。
总结一下,这个服务大致的功能就是,拦截短信,发送给作者,监控短信收件箱,删除短信。
回到MainActivity接着往下走。调用了kspi.s()方法。点进去仔细分析,该函数首先获取到本机的MIEI以及手机号码然后与传进来的参数进行组合。接着调用了了v12.start()方法。发现这个对象所属的类继承了Thread类,可知这是一个线程。然后通过分析run()函数的内容,可见是将刚才的内容发送给了一个网址为:http://wap.dzf10086.com/kk/ch.php 的服务器。然后返回来,接着看通过调用sendTextMessage方法将信息发给了作者。
除此外。在关于作者手机号的地方,作者进行了AES加密。通过提取程序中的代码,可以解密得出作者的手机号:13066310152。
根据程序,写出解密原码。
可以看出,作者将拦截到的短信不仅仅发送到自己的手机还发送到了一个指定的服务器。
回到MainActivity接着分析。接下来是请求激活设备管理器。,当用户点击取消的时候,程序可以被卸载,当用户点击激活的时候,程序无法被卸载。并且两种情况的结果都会被程序发送到指定的服务器和用户的手机上面。
分析到这基本上就结束了。但还有一个类没有分析,就是com.fhgfd.heee.kd。这个类是一个广播类,在AndroidManifest.xml中进行了静态注册,会接手接收短信、开机自启和用户唤醒手机屏幕等广播。仔细分析onReceive方法,首先过滤掉Nexus型号的手机,然后判断kse服务有没有正在运行,如果没有运行,再判断收到的是不是SMS_RECEIVED的广播,如果不是开启服务,退出。如果是的话,那么自己完成拦截短信将信息发送到服务器和作者手机上面,然后检测收件箱的变化。
总结,样本通过诱骗用户激活设备管理,导致程序无法正常卸载。监控用户的短信,并将短信发送到指定的服务器和病毒作者的手机。
三、 查杀方法以及解决方法
1、 提取病毒特征,利用杀毒软件进行查杀。
(1) MD5:C2CD6ABCB62A8DF958049ACFFA204392
(2) 提取关键字符串:
秘钥字符串:AE920882F4F5818501AB6256F91691D5
网址字符串:http://wap.dzf10086.com/kk/ch.php
密文字符串:37349EC2F427A1AF812DA757988CB9DE
2、 解决方法
打开设备管理器,设置—>安全–>设备管理器,将右上角的对勾取消掉。然后进行卸载。
