Android木马分析简介

标签: Android 网络安全 Android,木马 | 发表时间:2014-07-20 19:44 | 作者:scsecrystal
出处:http://www.geekfan.net

本文介绍基于Android的手机恶意软件,是一个基础性的介绍,给新入门的人提供一个分析和工具指引。要分析的木马是一个2013年的syssecApp.apk,这个木马的分析能对Android恶意软件有个大概了解。

基础:

1 –Android应用基础

Android是google开发基于Linux内核的开源的手机操作系统,应用程序使用JAVA语言编写并转换成了Dalvik虚拟机,而虚拟机则提供了一个抽象的真实硬件,只要和操作系统的API符合程序都可以在其上运行。应用则需要Linux的用户和组来执行,所以目前所有的恶意软件都需要获得权限。

Android应用的格式是APK,是一种包含AndroidManifest.xml的 ZIP文件,媒体类文件实际代码是classes.dex和一些其他的可选文件。XML提供Android系统的重要信息,比如用启动应用程序时需要什么权限,只有这个文件中列出的权限才提供给该应用,否则返回失败或空结果。classes.dex是Android应用程序实现的逻辑部分,是一个编译代码可由Dalvik虚拟机执行,打包成jar,从而节约移动设备上的一些空间。

2 –分析工具

2.1Dexter

Dexter可以将Android应用上传做分析,提供了包和应用元数据的介绍。包的依赖关系图显示了所有包的关系,可以快速打开列表显示所有的class和功能。

2.2Anubis

Anubis也是一个WEB服务,应用在沙箱里运行,每个样品相互独立,来分析文件和网络的活动。同时也提供一些静态分析,包括权限XML在调用过程中的变化。

2.3 APKInspector

Apkinspector提供了很多工具,APK加载后可以选择标签来执行其中的功能,带有一个Java反编译器JAD,能够反编译大多数类,但经常报错。

2.4 Dex2Jar

可将dex 文件转成 Java 类文件的工具,即使你是经验丰富的逆向工程师,也可以考虑使用。

3 – 实例分析

3.1 Anubis

Anubis的显著特点是,给出了应用所需权限的大名单:

14055236368853 (1)

 

截图上包括了应用的部分权限。INTERNET权限是常见的游戏所需,用来在线统计跟踪,开启共享功能或者广告。还有一些WAKE_LOCK、READ_PHONE_STATE用来读取手机状态,防止在游戏中锁屏。但READ_CONTACTS、    READ_HISTORY_BOOKMARKS则看起来就很奇怪,不像是一个游戏该干的事情。对127.0.0.1:53471的连接看起来也很奇怪。分析链接:http://anubis.iseclab.org/?action=result&task_id=1a6d8d21d7b0c1a04edb2c7c3422be72f&format=html

14055236439548 (1)

 

3.2 Dexter

包的依赖关系图显示共有四个。可以忽视de.rub.syssec,它只包含空类的默认构造函数。

14055236449074 (1)

 

de.rub.syssec包括了一个叫做Amazed的游戏,比较特别的是amazedactiviy的onCreate方法,设置为每隔15秒重复闹钟。

1405523647992 (1)

 

第3个class包含的事件比较多。onBoot在启动的时候就会进行闹铃,SmsReceiver和alarmReceiver则是真正的木马,在任何一个短信到达的时候SmsReceiver会检查里面是否包含有”bank”,如果是则使用abortBroadcast丢弃短信。

1405523650878 (1)

 

14055236529703

 

这意味着短信在手机上是看不到的。de.rub.syssec.neu有6个CLASS,最重要的一条是“Runner”,是实际的恶意代码。“work”调用alarmReceiver来检查设备是否连接互联网。

1405523657843

 

如果在线,则调用“steal()”收集信息,添加到XML帮助的一个伪变量里。

14055236594440

 

14055236637813

 

根据API的调用列表,会收集信息:IMSI、SIM卡序列号、姓名、设备ID、用户字典(自动补全)、联系人、通话记录、日历、浏览器搜索记录、浏览器收藏夹、发送和接收的短信、位置信息。

3.3 Emulator

Emulator证实这个APK确实有一个关于迷宫的游戏。但在输出的日志里可以发现它其实做了很多事情,并试图发送这些内容:

14055236669821

 

14055236682505

 

还有一些额外的信息包括安卓版本、IMEI、本地时间、steal()运行总量

3.3 分析用到的网站

http://anubis.iseclab.org/

http://dexter.dexlabs.org/

https://www.virustotal.com/

http://www.apk-analyzer.net/

http://www.visualthreat.com/

http://androidsandbox.net/reports.html

https://hackapp.com/

游戏不仅仅是个游戏,检查你的游戏。

Android木马分析简介,首发于 极客范 - GeekFan.net

相关 [android 木马 分析] 推荐:

Android木马分析简介

- - 极客范 - GeekFan.net
本文介绍基于Android的手机恶意软件,是一个基础性的介绍,给新入门的人提供一个分析和工具指引. 要分析的木马是一个2013年的syssecApp.apk,这个木马的分析能对Android恶意软件有个大概了解. Android是google开发基于Linux内核的开源的手机操作系统,应用程序使用JAVA语言编写并转换成了Dalvik虚拟机,而虚拟机则提供了一个抽象的真实硬件,只要和操作系统的API符合程序都可以在其上运行.

Android应用性能 分析

- - CSDN博客推荐文章
  其实主要是内存方面,内存管理是个永恒的话题. 1.从工具DDMS中,在Sysinfo的tab栏里面有一个Memory usage的选项,通过USB连接Android设备以后很容易抓到图. 在图中可以看到系统随时可以用的内存是Free和Buffers两项,因为我抓图的系统只有128M的内存,所以看上去这部分可用内存已经很少了.

Android 系统架构分析

- - CSDN博客移动开发推荐文章
Android:开源的 Linux + Google 的封闭软件 + 私有的基带 + 运营商锁定 = 开放的 Android 手机. iPhone:开源的 BSD + 苹果的闭源软件 + 私有的基带 + 运营商锁定 = 封闭的苹果 iPhone. 一个平庸的应用商店,开发者依靠广告赚钱,商店并非独此一家,用户找不到好软件.

Android 4.4 meminfo 实现分析

- - UC技术博客
Android提供了一个名为meminfo的小工具帮助应用分析自身的内存占用,并且在4.4还新增了memtrack HAL模块,SoC厂商通过实现memtrack模块,让meminfo可以获取GPU相关的一些内存分配状况. 了解meminfo的实现,对我们更深入了解应用的内存占用状况是很有帮助的. 而这篇文章的目的就是分析Android 4.4 meminfo的内部实现源码,让开发者通过这些信息可以更了解自己应用的内存占用状况.

Android OOM案例分析

- - 美团点评技术团队
在Android(Java)开发中,基本都会遇到 java.lang.OutOfMemoryError(本文简称OOM),这种错误解决起来相对于一般的Exception或者Error都要难一些,主要是由于错误产生的root cause不是很显而易见. 由于没有办法能够直接拿到用户的内存dump文件,如果错误发生在线上的版本,分析起来就会更加困难.

新Android木马能录下通话内容

- ZeeJee - Solidot
CA安全研究人员称,一种新的Android木马能录下通话内容. 以前有过木马能记录打入和打出的电话信息和通话时间,但本周发现的新木马能以AMR格式记录通话内容,并储存在SD卡. 恶意程序的配置文件包含了远程服务器和参数等重要信息,也意味着录下的电话内容可以上传到黑客的服务器中. 恶意程序的安装界面类似合法的应用程序.

事件跟踪:关于iOS平台木马WireLurker的分析

- - FreeBuf.COM
‍‍ 最近出现了一款名为. WireLurker的针对iPhone和Mac OSX平台的恶意软件‍‍. ‍ ‍也许大家对这个事情已经并不陌生,但刨根问底总是必要的, 现在让我们一起来看看细节吧. 这个能够感染iPhone和Mac OSX平台的恶意软件,名为WireLurker. 网络安全公司Palo Alto发现了这一威胁,并发布了一份.

Google 撤下 50 多款带有 DreamDroid 木马程序的 Android 应用

- Ray ma - 爱范儿 · Beats of Bits
Google 昨天从 Android Market 上面撤下 50 多款带有 DreamDroid 木马程序的应用. DreamDroid 采用 rageagainstthecage 方法来取得用户手机的根用户权限(Root Access),然后就偷偷上传用户信息,包括 IMEI,IMSI,手机型号,国家地区,语言等等.

Android系统惊现AKB48封面木马 日本警方已介入调查

- - 爱活网最新资讯
路边的野花你不要采,这个定律在任何时代都适用,各位在Android菜市场里看到AKB48的图标千万不要脑子一热就点击下载,因为它很有可能包含木马程序,不知不觉中你就中招了. 安全厂商赛门铁克近日在Android市场中发现了多达29个恶意程序,它们都使用颇具诱惑性的封面来引诱用户下载,其中甚至有一款使用了日本国民偶像AKB48作为封面.

Android 4.0应用界面设计分析

- - 所有文章 - UCD大社区
我总是觉得,直到谷歌在2011年10月19日上午十点,公布了有关Android 4.0系统信息的时候,Android与IOS的火拼才算正式开始.  虽然苹果对待这个眼中的“私生子”始终贯彻着严厉的专利打压政策,但Android在全球的市场份额却保持着快速增长. 势如破竹的表象背后,是潜藏已久的、巨大的中低端移动市场.