Androidframework窃取用户隐私病毒分析

最新推荐文章于 2022-02-18 15:41:41 发布
最新推荐文章于 2022-02-18 15:41:41 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: 原创 病毒 木马 文章标签: 病毒 安全 木马 android 用户隐私
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TencentMobileManager/article/details/53374613
版权
原创 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
病毒
5 篇文章 0 订阅
订阅专栏
木马
5 篇文章 0 订阅
订阅专栏

一. 恶意行为

1.病毒启动后申请root权限,hook系统服务进程,影响用户设备正常关机;

2.接收广播,私自进行拍照并上传至服务器等行为;

3.窃取用户短信,联系人,地理等信息并上传;

4.拦截短信并上传至服务器。


二. 流程图

 

三. 详细分析

1.软件自身dex分析

软件运行后启动服务com.phone.CService,调用hide()方法隐藏图标,

 

 

申请root权限

 

注册大量广播接收器:

 

PictureAgainReceiver用于接收广播picture.again调用SelfCamera2类的TakePicture()方法进行拍照:


MySurfaceView类用于预览照片,完成时图片存放于以下路径:


初始化生成及加载文件

 

 

 

文件注入完成后开始hook系统服务

 

设置将要hook的进程及方法名等信息传入hook()方法

 


被hook的系统进程及注入文件


根据传送来的参数hook 

 

 

 

startCheck判断各个文件是否注入并调用成功

 

各个子包行为

子包\res\raw\libhookjava5.so加载子包\res\raw\ksremote.jar

 

子包\res\raw\ksremote.jar

 

注册广播接收器bindSdBroadReceiver

 

创建广播接收器SmsReceiver_old;


拦截短信

 

Tmp方法通过广播将数据发送

 

软件自身dex通过广播接收器接收并上传至指定服务器

 

通过文件ip_config读取服务器地址

 

 

获取用户通话记录

 

获取联系人信息

 

获取手机网络浏览历史

 

RSDServerImpl_old类

通过此广播接收器接收对应广播进行关机,重启,获取短信,获取通讯录等操作:

 

调用com.sd.hk.impl.RSDServerImpl类的hkShutdownMethod

 

com.sd.hk.impl.RSDServerImpl的初始化

 


Init方法通过调用子包\res\raw\libMUMtdown.so中的is方法,判断进程是否系统进程,进而访问不同的端口,从网络端获取数据

 

调用Jnicommon类

 

子包\res\raw\libH1Ck.so hook了系统的reboot方法,从而控制设备正常关机

 

子包\res\raw\libMUMtdown.so中的对应方法

通过修改Android属性进行拦截修改其关机或重启操作

 



四. 溯源信息

根据其上传信息的服务器ip,我们对其进行定位,发现其地理位置位于成都市:

 


清除方案

system/lib/libyyzutils5.so

system/lib/lib8S5ec.so

system/lib/lib9WJutils.so

system/lib/libH1Ck.so

system/lib/libIZTkpackage.so

system/lib/libMUMtdown.so

system/lib/libOYBkprovider.so

system/lib/lib3HKkradio.so

system/lib/lib6HZkjava.so

 

查杀截图

 

腾讯手机管家
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
大数据Flink(四):Standalone独立集群模式
Lansonli(蓝深李)的博客
04-24 1249
目录 ​​​​​​​Standalone独立集群模式 原理 ​​​​​​​操作 1.集群规划: 2.修改flink-conf.yaml 3.修改masters 4.修改slaves 5.添加HADOOP_CONF_DIR环境变量 6.分发 7.source ​​​​​​​测试 1.启动集群,在node1上执行如下命令 2.启动历史服务器 3.访问Flink UI界面或使用jps查看 4.执行官方测试案例 5.查看历史日志 6.停止Flink集群 Standalone独立集
cms系统——看点咨询项目(2)——Swagger&链接管理模块
老阿姨的博客
11-28 1530
一、前置知识点 1、接口文档 1.1 什么是接口文档? 在项目开发中,web项目的前后端分离开发、APP开发,需要有前后端工程师共同定义接口,编写接口文档,之后大家都根据这个接口文档进行开发,到项目结束前一直要维护。 1.2 为什么要使用接口文档? (1)项目开发过程中前后端工程师有一个相同的文件进行沟通交流开发 (2)项目维护或项目项目人员更迭是,方便后期人员查看、维护 1.3 接口规范是什...
Linux基础篇,系统服务(service)的管理
愿你饱经冷暖,仍保纯真
11-11 1345
一、服务是什么? 用白话文说,服务就是“常驻在内存中的进程”,用来提供一些系统或网络功能。 二、service和daemon的区别与联系 因为服务(service)本质上来说也是程序,程序运行就会产生进程。而启动运行这个service的进程(程序)就是daemon。一个服务是需要一个daemon在后台运行的,没有这个daemon就不会有service。 注意:启动服务时,我们会发现很多情况...
flink-standalone部署。
wchao111111的博客
02-09 2331
最近上面想要通过flink-cdc来实现mysql数据实时同步至Elasticsearch,由于可以通过sql来实现数据同步,难度和投入都相对较小。于是自己研究了下flink,由于flink-cdc 现在最高支持flink1.13的版本,所有本文使用1.13.5的版本演示部署flink集群。 flink大数据框架,官方推荐了三种集群模式: 1.standalone 2.kubernetes 3.YARN 本文通过standlone+zookeeper构建flink HA Service 项目环境
Flink服务搭建-Standalone模式
yinhonglian的博客
06-12 1197
一、服务搭建 1. 下载安装包flink-1.8.0-bin-scala_2.12.tgz,本文选择的是1.8.0版本。下载地址:http://flink.apache.org/downloads.html 2.上传安装包至服务器的/usr/local/目录下,并使用以下命令解压至flink目录下: tar zxvf flink-1.8.0-bin-scala_2.12.tgz 3.设置环境变量 export FLINK_HOME=/usr/local/flink
android framework
Black Winds的专栏
01-09 181
https://blog.csdn.net/u010687392/article/details/43899241
关于:Standalone Managed Service Accounts
老陈醋的博客
02-18 373
关于:Group Managed Service Accounts
如何深入学习AndroidFramework
02-22
本篇文章主要介绍了什么是FrameworkFramework开发学什么 ,Framework开发的主要内容 Framework开发学什么 Framework开发的主要内容 1. 基础知识 2. AOSP 源码上手 3. AOSP 编译系统 4. Hal与硬件服务 5. ...
android bluetooth framework,application 层分析
12-18
android bluetooth framework,application 层分析
android framework 开发揭秘
11-09
android framework 实现细节,常见面试问题汇总
Android Framework解析
最新发布
03-03
Android Framework解析
Android-framework详细分析
07-16
Android-framework详细分析 ,提供网盘下载地址,如果链接失效,请给我邮件。 邮件注明: csdn Android-framework详细分析.pdf 链接失效。 我将提供新链接地址。否则勿扰。
一种基于行为链的 Android 应用隐私窃取检测方法
03-31
本文针对 Android 应用中普遍存在的用户隐私窃取问题 ,提出了基于行为链的应用隐私窃取行为检测 方法 ,该方法能细粒度地定位 Android 应用中存在的信息泄露源和信息泄露点 ,利用 WxShall 算法快速计算信息泄漏源 和信息泄露点之间的可达性 ,自动化地追踪 Android 应用中存在的隐私信息传递路径 ,实现了对 Android 应用中隐私窃 取行为的完整检测和分析 .对 1259 款应用检测结果表明 ,本方法正确性超过 95畅1% ,算法复杂度仅为 WarShall 算法的 5畅45% ,检测效果优于 Androgurad 和 Kirin .
基于权限组合的Android窃取隐私恶意应用检测方法
01-20
基于权限组合的Android窃取隐私恶意应用检测方法基于权限组合的Android窃取隐私恶意应用检测方法
flink standalone 部署模式且不能使用 hdfs 场景下的各种问题及其应对方案
明哥的IT随笔
07-02 1555
点击上方蓝色“明哥的IT随笔”,关注并选择“设为星标”,keep striving! 欢迎关注知乎同名专栏!一。背景笔者所在公司某系统在某证券公司现场部署时,客户出于自己集群使用规划的考量...
Flink任务调度原理之TaskManager 与Slots
热门推荐
叁木大数据
04-28 1万+
TaskManager 与Slots 一、作用与关系 上文讲到了每一个worker(TaskManager)为了控制能接收多少个task,worker通过task slot来进行控制(一个worker至少有一个task slot),那么是怎么处理的呢?话不多说先上图 总: Flink 中每一个 TaskManager 都是一个JVM进程,它可能会在独立的线程上执行一个或多个 subtask 为...
Flink-Standalone模式的配置及启动测试与查看
SmallScorpion
05-23 1219
安装解压 下载地址 : https://flink.apache.org/downloads.html 这边注意得是:如果下以前得版本(https://archive.apache.org/dist/flink/flink-1.7.1/) 会发现 其中 flink-1.7.1-bin-scala_2.11.tgz 这种为纯净得版本,那种带hadoop27分别对应得是hadoop版本 如果下了纯净版本 flink-1.7.1-bin-scala_2.12.tgz 还需要下载与之对应得hadoop版本得j
一 Flink集群搭建部署
曌的博客
02-28 845
1.1本地模式部署 1.1.1 将压缩包解压 [root@master root]# tar -zxvf flink-1.9.1-bin-scala_2.11.tgz -C /usr/local/ 压缩包下载地址: 1.1.2 创建软连接(实质修改解压后的文件名) [root@master local]# ln -s flink-1.9.1/ flink 1.1.3 配置环境变量 [root@ma...
cms项目之模块设计------链接模块和分类模块
m0_46322241的博客
02-27 759
复习回顾: 1.mybatis-genetator 逆向工程 mybatis bean/映射文件/配置文件 mybatis半自动的ORM框架–类和表一一映射 1).generatorCOnfig.xml 1.引入数据库的核心jar包()注意版本,高版本兼容低版本) 2.根据自己的需求更改配置信息 2).在pom.xml中导入插件 2.swagger:管理后台请求Controller接口请求的api...
android framework
05-12
Android Framework是指Android操作系统中的一组核心API,它为Android应用程序...通过使用Android Framework,开发人员可以快速构建高质量的Android应用程序,同时也能够利用操作系统的强大功能,提供出色的用户体验。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值