Android最新敲诈者病毒分析及解锁

一、情况简介

从去年开始PC端的敲诈者类病毒在不断的爆发，今年年初的时候手机上也开始出现了敲诈者之类的病毒，对这类病毒很无语也是趋势，因为很多时候病毒的产生是和金钱利益相关的。 前天去吾爱破解论坛病毒样本区看了看，有用户反映中了Android敲诈者病毒，就花时间分析了一下。该病毒欺骗用户是 QQ 空间刷赞的 apk 程序，诱导用户安装；一旦手机用户安装并且用户的 手机已经被 Root ，那么该用户的手机就会中招，手机被锁定。该病毒与以往的敲诈者病毒相比，采用了比较巧妙的绕过杀软的小把戏。

二、样本基本信息

文件名称：名片赞系统-已破解.apk

文件大小：1317110 字节

文件类型：application/jar

样本包名：com.q448870015.root

MD5: A79FAE7E0DAB0E7047A5FCBE7AC3F0AA

SHA1: AE5531089D79AAEBD4B01834C95781BF59A56A7A

三、样本行为分析

1.经过分析和确认发现该病毒样本程序经过了爱加密加固进行加密，要分析样本必须先脱壳，使用DexExtractor工具将样本的爱加密壳脱掉了。

2.样本的真实包名为package="com.q448870015.root"，样本的主Activity为"com.q448870015.root.ui.InstallActivity"。

3.发送标准广播"com.secneo.plugin.action.APP_STARTED"。

4.在用户手机上执行"su"命令，用以判断用户的手机是否被root过或者是手机里面的busybox支持“su”命令。

5.打开资源文件夹assets下的"a"文件，将其复制拷贝，在当前程序的data目录的files子目录"/data/data/com.q448870015.root/files"下创建文件"/data/data/com.q448870015.root/files/a"。

6.打开资源文件夹assets下的"b"文件，将其复制拷贝，在当前程序的data目录的files子目录"/data/data/com.q448870015.root/files"下创建文件"/data/data/com.q448870015.root/files/b"。

7.打开资源文件夹assets下的"o"文件，将其复制拷贝，在当前程序的data目录的files子目录"/data/data/com.q448870015.root/files"下创建文件"/data/data/com.q448870015.root/files/o"。

8.使用提示语言欺骗用户触发恶意的病毒行为，锁定用户的手机（对应下面的行为1）。

9.行为1：无论用户的手机root与否，直接创建线程在"su"环境下，执行下面的命令（如下图）并且只有在用户的手机已root的情况下，下面这些命令才会执行成功。

一旦命令执行成功，重启手机后用户的手机就会被锁定。

10.行为2：无论用户的手机root与否，，直接创建线程在"su"环境下，执行下面的命令（如下图）并且只有在用户的手机已root的情况下，下面这些命令才会执行成功。

一旦这些命令执行成功即可解除手机的锁定。

11.这类敲诈者病毒样本其实之前就出现过了，但是这个病毒样本比较巧妙，采取了一些措施来避免杀软的查杀。外壳病毒apk程序com.q448870015.root（名片赞系统-已破解）

使用爱加密加固加密了并且也不好判断为病毒apk程序；真实的敲诈病毒apk程序（名片赞系统）其实就是/data/data/com.q448870015.root/files/b文件，被隐藏起来了。

12.步骤8中，只要用户的手机一重启，开机后用户的手机就会被锁定；因为真实敲诈的病毒apk程序就是上面提到MtkEditer.apk程序、apk程序显示名称为名片赞系统、图标为QQ图标， 注册了开机启动广播 "android.intent.action.BOOT_COMPLETED" ；一旦用户的手机开机就启动病毒服务锁定用户的手机。

13.敲诈病毒程序MtkEditer.apk的包名为package="com.lzm20151007"。

14.锁定用户手机的病毒服务的行为分析--创建病毒服务时，获取当前系统的时间，格式化时间为"yyyy年MM月dd日-HH:mm:ss"格式，

然后将格式化的当前系统时间发送到病毒作者的手机13457484650上。

15.锁定用户手机的病毒服务的行为分析--病毒服务启动时，通过addView方法显示一个全屏置顶的悬浮窗口，根据设置WindowManager.LayoutParams的flags属性，

这个悬浮窗无法取消掉，导致用户的手机无法正常使用。

16.等待用户输入正确的解除码才能解锁手机，但是经过分析发现解锁手机并不难。

                                                   （序列号- 4488）* 4 = 解除码

例如：

序列号为1285348，则  解除码 = （1285348 - 4488）*4 = 5123440

被锁定的手机成功解锁。

样本来源：http://www.52pojie.cn/thread-426996-1-1.html

17.杀掉这个病毒的方法，对于已经Root的手机中了该病毒，直接卸载可能卸载不掉病毒apk程序，因为病毒程序已经将病毒apk放到/system/app路径下了，一般卸载apk的方法不好使。

手机解锁以后，每次的生成的解锁码都不同，如果不删除病毒apk程序，每次手机被锁定以后，都需要再次计算手机解锁码。

病毒apk的清除方法1：

先解锁手机，执行adb shell 进入手机系统，然后获取最高权限su，再依次执行下面的这些命令，即可删除病毒apk。

"mount -oremount,rw -t yaffs2 /dev/block/mtdblock3 /system"

"rm/system/app/MtkEditer.apk"

"rm/system/lib/libAlterData.so"

"rm/system/lib/libAlterData.so"

"rm -r/data/data/com.zxjw.mtkediter"

"mount -oremount,ro -t yaffs2 /dev/block/mtdblock3 /system"

病毒apk的清除方法2：

先解锁手机，然后使用手机助手类软件 （卸载系统内置软件功能）将已经root的手机中的病毒apk程序MtkEditer.apk的包名为package="com.lzm20151007"的程序卸载掉。

千万别忘了，包名为com.q448870015.root的apk病毒程序也要卸载掉。

===================================================================================================================

脱壳工具DexExtractor：https://github.com/bunnyblue/DexExtractor

看雪的链接：http://bbs.pediy.com/showthread.php?p=1377670#post1377670

该工具的作者已经编译好了Android模拟器的镜像文件system.img，镜像文件版本是Android 4.4 （api 19）放在了百度云盘里，可以自行下载。

作者已经放出了源码，有兴趣的爱好者可以根据自己的需求自行修改代码，然后编译定制自己的工具，编译得到的是libdvm.so库文件。

脱壳工具的使用方法：

1.将编译好的libdvm.so库文件替换掉手机系统[backcolor=rgba(0, 0, 0, 0.0392157)]/system/lib系统路径下的 libdvm.so库文件。

2.将手机或者Android模拟器的里的相关文件替换为作者已经编译好的system.img文件。

===================================================================================================================

DexHunter工具：https://github.com/zyq8709/DexHunter

看雪的链接：http://www.kanxue.com/bbs/showthread.php?t=203776

DexHunter工具作者提供的貌似是Android 4.x源码编译后的Android模拟器的相关文件，如果要手机使用，需要打包成Rom，然后刷到手机里。