一枚Android "短信小偷" 病毒的分析

最新推荐文章于 2019-01-26 18:31:31 发布
最新推荐文章于 2019-01-26 18:31:31 发布
阅读量3.3k 收藏 7
点赞数 2
分类专栏: Android病毒分析 Android病毒研究与解密 文章标签: Android病毒 android木马 病毒 木马 短信小偷
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1084283172/article/details/48677379
版权

一、样本简介

样本来自于吾爱破解论坛链接地址为http://www.52pojie.cn/thread-410238-1-1.html,样本不是很复杂有空就分析了一下。Android病毒样本还是很有意思的,有需要分析的样本发到论坛分析分析。

 

二、样本信息

文件名称:10086.apk 

文件大小:32117 byte

文件类型:application/jar

病毒名称:Android.SmsThief.BS

MD5:c2cd6abcb62a8df958049acffa204392

SHA1:de9bdbf724e6adf9bfe1bed7047b176851b5ae74




三、样本病毒行为分析

0x1. 静态注册短信拦截广播、开机启动广播、唤醒手机等广播,对除Nexus之外的机型进行短信的拦截,将用户手机上收的短信的信息和短信发送人等数据发送到病毒作者的指定服务器网址"http://wap.dzf10086.com/kk/ch.php"和指定手机号13066310152上。




0x2.拦截除病毒作者手机号码13066310152之外所有发送到用户手机上的短信,并将用户手机上的短信的内容和短信发送人等信息,通过网络提交到病毒作者的服务器"http://wap.dzf10086.com/kk/ch.php"上并通过短信的方式发送到病毒作者的指定手机号13066310152上,然后查询用户的手机短信箱"content://sms/inbox"将用户手机上收到别人发送来的短信的记录删除,或者开启病毒服务。





0x3.这里需要说明一下,病毒作者接受短信的手机号使用AES算法进行了加密,解密之后可以得到病毒作者的手机号为13066310152






解密病毒作者接受短信的手机号的代码:

import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;

import javax.crypto.BadPaddingException;
import javax.crypto.Cipher;
import javax.crypto.IllegalBlockSizeException;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.spec.SecretKeySpec;

public class AesDecryptString {

	public static void main(String[] args) {

		// AES算法解密后的字符串--病毒作者的手机号
		String strAesDecryptString = GetAesDecryptString("37349EC2F427A1AF812DA757988CB9DE",   
                "AE920882F4F5818501AB6256F91691D5");
		
		//输出AES解密的字符串
		System.out.println("The PhoneNumber is :"+strAesDecryptString);  //病毒作者的手机号码 - 13066310152
	}
	
	//解密AES算法加密的字符串
	 public static String GetAesDecryptString(String content, String key) {
	        try {
	            Cipher Cipher = javax.crypto.Cipher.getInstance("AES");
	            Cipher.init(2, new SecretKeySpec(parseHexStr2Byte(key), "AES"));
	            String strDecrypt = new String(Cipher.doFinal(parseHexStr2Byte(
	                    content)));
	            return strDecrypt;
	        }
	        catch(BadPaddingException e) {
	            e.printStackTrace();
	        }
	        catch(IllegalBlockSizeException v1_1) {
	            v1_1.printStackTrace();
	        }
	        catch(NoSuchPaddingException v1_2) {
	            v1_2.printStackTrace();
	        }
	        catch(NoSuchAlgorithmException v1_3) {
	            v1_3.printStackTrace();
	        }
	        catch(InvalidKeyException v1_4) {
	            v1_4.printStackTrace();
	        }

	        return null;
	    }

	 //字符串转换
	 public static byte[] parseHexStr2Byte(String hexStr) {
	        byte[] byteArry;
	        int v6 = 16;
	        if(hexStr.length() < 1) {
	            byteArry = null;
	        }
	        else {
	            byteArry = new byte[hexStr.length() / 2];
	            int v1;
	            for(v1 = 0; v1 < hexStr.length() / 2; ++v1) {
	                byteArry[v1] = ((byte)(Integer.parseInt(hexStr.substring(v1 * 2, v1 * 2 + 1), v6) * 
	                        16 + Integer.parseInt(hexStr.substring(v1 * 2 + 1, v1 * 2 + 2), v6)));
	            }
	        }

	        return byteArry;
	    }
}

0x4.下面是病毒apk程序将用户的短信拦截提交到病毒作者的服务器网址"http://wap.dzf10086.com/kk/ch.php"上以及发送到病毒作者的手机"13066310152"上。






0x5.动态注册短信广播"android.provider.Telephony.SMS_RECEIVED",设置短信广播的高优先级,对用户的短信进行拦截,然后通过网络和短信发送给病毒作者。







0x6.监控用户收件箱的变化—拦截用户手机上的短信以后发送到病毒作者的手机上然后删除拦截到的短信在用户短信收件箱的记录




0x7.静态注册"android.app.action.DEVICE_ADMIN_ENABLED" 广播,一旦用户误操作点击“激活”以后病毒apk程序就会被锁定,不能用户卸载,并且病毒apk程序被锁定的信息还会以提示“已激活”发送到病毒作者的服务器和手机上。








0x8. 病毒apk程序运行时,会开启病毒服务(上面已经分析)拦截用户的短信发送给病毒的作者,隐藏当前apk程序的图标,诱导用户点击“激活”锁定设备,导致该apk不能被用户卸载。






0x9.判断用户的手机有没有被root。






Fly20141201
关注
专栏目录
Android版本的 Wannacry 文件加密病毒样本分析 附带锁机
hgfujffg的博客
11-13 1256
Android版本的 Wannacry 文件加密病毒样本分析 附带锁机
Android病毒分析报告】 - Andorid新病毒“UkyadPay”
ithome
09-25 112
本文章由Jack_Jia编写,转载请注明出处。文章链接:http://blog.csdn.net/jiazhijun/article/details/11935911 作者:Jack_Jia 邮箱:309zhijun@163.com 近期百度安全实验室发现一款“UkyadPay“新病毒,该病毒目前已感染快播、超级小白点、萝莉保卫战等大批流行应用。该病毒启动后,后台偷偷访问远端服务器获取指令...
Android病毒样本分析(1)
ireader135的博客
03-23 1999
1.基本信息 病毒名称: 1.apk 文件名称: 建设控件 文件MD5: 5B22058C7632AA3211987B1ABDD8E3D0 文件包名: tk.jianmo.study 数字签名:O=1_sign.apk   2.基本行为 程序启动后直接进入锁屏界面,开机自启动,按键无响应 3.详细分析 1.  通过改写onKeyDown方法,屏蔽
Android病毒样本分析(4)
ireader135的博客
03-25 4286
1.基本信息 病毒名称: SD-Booster.apk 文件名称: SD-booster 文件MD5: 50836808A5FE7FEBB6CE8B2109D6C93A 文件包名: de.mehrmannd.sdbooster 危害属性: 代码捆绑、软件静默安装   2.基本行为 这个样本通过捆绑软件SD-Booster来达到感染的目的,在安装运行被感染的SD-Booste
Android病毒样本分析(2)
ireader135的博客
03-23 1164
1.基本信息 病毒名称: a.privacy.fakeccb.a[建设控件] 文件名称: BWM在线 文件MD5: E32377EE18BF0D853D5B45DEDFB6997D 文件包名: com.qqquanquan1031606149 危害属性: 恶意勒索   2.基本行为 程序启动后直接锁屏,以勒索用户   3.详细分析 1、在入口函数内启动服务 tr
小偷类!!有兴趣的可以看看
10-31
这个“一小偷类”实际上是一个ASP(Active Server Pages)脚本中的类定义,用于模拟网络数据的抓取和处理。在IT领域,这种行为通常被称为网页爬虫或网络抓取,是通过自动化程序来获取网页信息的一种方式。以下是对这...
PHP短信大全小偷 v1.0.zip
07-07
PHP短信大全小偷首页根据缓存更新,一些参数在commom.php里修改,底部在foot.php里修改。自己使用的话请再仔细修改下 有些地方尚没有完善 ,广告的话没有弄过来 有一部分自己看代码修改下 没有时间做了。全站伪静态...
发一个采集(小偷)用的类,ASP+缓存实现
10-31
#### 一、ASP与Web数据采集技术 - **ASP简介**: - **定义**:Active Server Pages(ASP)是一种服务器端脚本环境,可用来创建和运行动态、交互式 Web 应用程序。通过在经典 ASP 中组合 HTML 页面、脚本命令和 ...
PHP短信大全小偷源码 v1.0
04-02
PHP短信大全小偷源码 v1.0,该源码是不错的源码,首页根据缓存更新,一些参数在commom.php里修改,底部在foot.php里修改。自己使用的话请再仔细修改下 有些地方尚没有完善 ,广告的话没有弄过来 有一部分自己看代码...
VIVI万能小偷5.5_VIVI万能小偷5.5_
09-30
【标题】"VIVI万能小偷5.5"是一款功能强大的网站仿站工具,专为快速构建网站而设计,特别适用于那些希望快速搭建与已有网站相似结构的用户。这款工具的核心特点是在线采集,能够高效地抓取目标网站的数据,并在用户...
Android病毒样本分析(3)
ireader135的博客
03-23 2755
1.基本信息 病毒名称: com.android.getbest-1 文件名称: 王者荣耀刷皮肤 文件MD5: 4FF98D2A5F045921757B73FAA1D6012D 文件包名: com.android.getbest 危害属性: 恶意锁屏、勒索   2.基本行为 该程序是一款假借王者荣耀外挂名号的病毒软件,程序启动后隐藏自身图标,诱骗用户激活设备管理器保护自身以
Android发送短信病毒程序
v587ge的专栏
09-17 717
public class SendMessage extends Activity{ @Override protected void onCreate(Bundle savedInstanceState) { // TODO Auto-generated method stub //必须在 requestWindowFeature(Window.FEATURE_NO_TITLE);
Android版本的”Wannacry”文件加密病毒样本分析(附带锁机)
xiziyunqi的博客
08-31 2699
一、病毒样本分析 点击免费激活,出现授权界面: 需要设备管理器,是想修改锁机密码,我们就授权,然后分析程序找到重置的密码就好了;授权之后,就被锁屏了,解锁屏幕会出现: 病毒作者真够狠的,竟然自己弄了一个浮窗锁机,这时候我们不得不看代码了,找到这个密码了。其实该锁机很容易解决的,因为他主要是借助windowmanager搞的,所以这时候可以连接adb使用
Android病毒分析报告】 - Usbcleaver
移动编程
06-27 127
本文章由Jack_Jia编写,转载请注明出处。文章链接:http://blog.csdn.net/jiazhijun/article/details/9179749 作者:Jack_Jia 邮箱:309zhijun@163.com 一、病毒样本基本信息 Md5:283d16309a5a35a13f8fa4c5e1ae01b1 Package:...
android病毒样本分析(红包助手)
u011337769的博客
01-26 1103
目录 1.样本概况... 3 1.1 样本信息... 3 1.2 测试环境及工具... 3 1.3 分析目标... 3 2.具体分析... 4 2.1 加固情况... 4 2.2代码分析片段... 4 3.总结... 6 1.样本概况 1.1 样本信息 名称:637d46139b0c787be824feb347e852b34ddc9176 MD5值:007f3f44cc4e...
Android病毒分析报告】 - Claco
移动编程
03-01 285
本文章由Jack_Jia编写,转载请注明出处。文章链接:http://blog.csdn.net/jiazhijun/article/details/8627309作者:Jack_Jia 邮箱:309zhijun@163.com 一、病毒样本基本信息 Md5:c5a2d14bc52f109a06641c1f15e90985 Package:smart.apps.droid...
国家计算机病毒中心发现一种针对安卓手机的恶意程序
weixin_34247299的博客
07-10 206
国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现一种针对安卓手机的恶意应用程序Godless。 该恶意程序可以获取安卓手机的ROOT权限,会以不同的方式存在于互联网上的应用商店中。 国家计算机病毒应急处理中心专家分析发现,该恶意应用程序中包含了一些开源或者存在泄漏的安卓系统ROOT工具。一旦恶意应用程序获取系统的ROOT权限,就会在手机用户未授...
2017年Q1安卓ROOT类恶意病毒发展趋势研究报告
腾讯手机管家
05-18 3060
摘要 1、移动互联网黑产持续性攻击的核武器,用户设备沦陷的最后防线        Android平台作为目前最流行的流量平台,由于它的开源使得大量的厂商加入其阵营,作为当前最大的流量来源,安卓平台是黑产分子眼中的香饽饽,各种恶意应用和手机病毒纷至而来。        由于安卓系统先天就存在的一些限制,习惯了PC时代为所欲为的黑产分子为了绕过Android平台的安全机制以及与手
使用XMLHTTP技术的小偷程序解析
"小偷程序通常指的是一种恶意软件,它们设计用于在用户不知情的情况下窃取敏感信息,如登录凭据、财务数据或个人隐私。XMLHTTP对象是JavaScript中用于异步处理HTTP请求的一个关键组件,常被用于网页应用程序与服务器...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值