Android敲诈者病毒“安卓性能激活”分析(2015年9月版)

最新推荐文章于 2023-01-15 17:40:09 发布
最新推荐文章于 2023-01-15 17:40:09 发布
阅读量2.6k 收藏 1
点赞数 1
分类专栏: Android病毒分析 Android病毒研究与解密 文章标签: 病毒 Android病毒 敲诈者病毒 梆梆 360
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1084283172/article/details/50084049
版权
一、情况简介

前几天分析了论坛里的一个Android敲诈者病毒,感觉还是很有收获,后面有空多研究研究Android病毒。说句题外话,
根据前面分析的Android敲诈者病毒的隐藏手法,应该可以实现“手机助手”类软件里的“卸载系统预留软件”的功能。
在前面Android敲诈者病毒的评论里,有朋友留了个贴吧的链接,进去逛了逛,又发现了一枚Android敲诈者病毒,病毒
程序图标很熟悉,360技术博客里有分析过该图标的病毒。不知道怎么的,之前也接触过这类Android病毒是爱加密加固
加密的,这次这个Android敲诈者病毒是梆梆加固加密的,贴吧显示其出现的时间是2015年9月10号左右。




二、样本信息

文件名称:安卓性能激活.apk
文件大小:1190613 字节
文件类型:Application/jar
样本包名:tx.qq898507339.bzy9
MD5: EA7A57771D7E31B9C7AB83081D305867
SHA1: 80AF8002861899323B6249ADA60685A0FDA26C64


三、病毒分析

1.经过AndroidKiller对样本文件进行反编译发现,原病毒Apk程序经过了梆梆加固处理,包名为"tx.qq898507339.bzy9"
主活动Activity类为"tx.qq898507339.bzy9.MainActivity"。不过及其幸运的是使用DexExtractor脱壳工具可以脱掉梆梆加固的壳。



2.启动服务"tx.qq898507339.bzy9.RunBackgoundTips",病毒作者在传播病毒锁定用户的手机的同时,不忘了给自己打广告、代个言。





3.启动服务"tx.qq898507339.bzy9.FloatingWindowService",获取随Android系统启动的apk程序的包名,设置顶层不响应触摸消息的悬浮
窗口,提示用户后面被锁机以后联系悬浮窗口上的QQ号。





4.获取安全设备管理器,向admin设备发送Intent消息,创建设备管理器系统权限激活界面,使用诱导性的语言“请激活服务/取消则无法使用”,
诱导用户点击激活按钮,当前Apk程序获取系统管理员权限。





5.病毒获取系统管理员权限以后,给用户的手机设置锁屏密码">>>qq 898507339 bzy>>>",但是千万要注意密码啊,
解屏密码中间有两次空格没有冒号,切记。






6.通过分析发现,病毒作者还打算创建一个全屏的Activity活动界面来欺骗用户,无论用户是点击"解锁"还是"锁定"按钮,
用户的手机都会被锁屏,导致上面设置的锁屏密码生效,用户的手机进入锁屏状态,用户的手机被锁屏密码锁定不能正常使用。



7.该病毒不但会创建上面提到的全屏的Activity活动界面欺骗用户并且还会让用户在不知情的情况下,点击按钮访问网址





8.注册很多类型的静态广播如开机启动广播,接收器"tx.qq898507339.bzy9. .BootReceiver"意图启动服务"tx.qq898507339.bzy9.SmSserver"
该服务没什么好说的,就是创建不能响应触屏消息的顶层悬浮窗口,病毒作者的目的就是怕中了该敲诈者病毒的用户不知道找谁解锁,影响
自己的收入,特地一直显示3中提到的带有病毒作者QQ号的悬浮窗口。





9. 其实病毒作者已经在代码中留了解锁的方法,通过手机号"18258614534"发送短信到被该病毒锁定的用户手机上即可远程解锁用户被锁屏的手机
尽管用户的手机被远程解锁,用户手机上的锁屏密码被清除,但是请记住,由于该病毒程序已经具有系统管理员权限,通过普通的程序卸载方法
卸载不掉,最好用手机助手类工具或者高权限的安卓程序,将该病毒Apk程序清除掉也可以在手机解锁以后,下载安装一个 设备管理器 软件,将该病毒Apk的获取的系统管理员权限去掉。






号外:

安卓性能激活类的Android敲诈者病毒也是比较典型的,最先接触的就是这种敲诈者病毒,手法都差不多。前面360技术博客也分析过这类Android病毒,
差不多但是还是有区别,360技术博客分析的该类病毒没有加壳处理,反编译的代码揣测的几次,除了锁屏解机的密码是一致的,其他的锁机行为和盗取 用户信息的行为没有发现,希望对中了病毒的人有点帮助。 梆梆加固脱壳后,分析加了注释的 dex 文件会给大家,分析有误差的地方请见谅,本人也是初学。

===================================================================================================================
用户手机解屏密码">>>qq 898507339 bzy>>>",但是千万要注意密码啊,解屏密码中间有两次空格没有冒号,切记。
===================================================================================================================

样本下载地址:

Fly20141201
关注
专栏目录
[系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制解析及IDA和OD逆向
杨秀璋的专栏
03-06 6374
前文分享了MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒,复现了WannaCry勒索病毒。这篇文章作者将继续分析WannaCry勒索病毒,主要通过IDA和OD逆向分析蠕虫传播部分,详细讲解蠕虫是如何感染传播的。同时,由于作者技术真的菜,只能叙述自己摸索的过程,如果存在错误或不足之处,还望告知。希望这篇基础性文章对您有所帮助~
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
热门推荐
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析病毒一个,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
android病毒可以杀掉吗,央视曝光史上最严重危害Android病毒“幽灵推”
weixin_31545945的博客
05-26 777
【TechWeb报道】最近,央视节目当中曝光了一款号称时尚最严重危害的Android手机系统病毒“幽灵推”,这款病毒会不断的下载它推广的应用,最可怕的是他会关掉你的WiFi网络,并且用移动网络消耗你的资源。该病毒会隐藏在一些流行工具软件中,如会说话的汤姆猫等,当用户安装非正规渠道下载的这些工具后有可能中毒,病毒会下载安装一系列恶意程序。“幽灵推”病毒的传播方式和危害与此前发现的众多手机病毒并无区别...
盘盘那些牛逼的勒索病毒(附样本)
最新发布
Peter_FHC的博客
01-15 4574
盘点那些比较牛的勒索病毒
梆梆加固的病毒分析-破解篇
aiker35523的博客
04-09 385
一.文件信息 文件名:tx.qq898507339.bzy9-1.apk MD5:77603118E1B061374DDB8A4D1EA70CB2 SHA1:A85B9387DD598E64548F6443D4359F21E02CBC90 CRC32:FFD5907D 描述:该软件是使用了梆梆加固的恶意锁机病毒,程序安装后提示需要激活,骗取用户信任,激活后立即重置锁屏密码并锁屏...
DexExtractor的原理分析和使用说明
Fly20141201. 的专栏
12-10 1万+
周末有空就写下博客了,今天来扯一扯Android平台的脱壳工具DexExtractor。DexExtractor工具的使用比较简单,脱壳的原理也比较简单,工具的作者bunnyrene讲这个android脱壳工具只要是针对bangbang (Bangcle)和ijiami加固的脱壳工具,应该是这两类加固的免费吧。之前在分析android病毒的时候使用过,但是有时候脱壳还是不成功,需要人工手工脱壳来
勒索软件样本
01-24
理解软件的功能及原理,加强对系统和网络的安全意识。
2007中国计算机病毒疫情调查技术分析报告
12-12
《2007中国计算机病毒疫情调查技术分析报告》揭示了我国在该度面临的计算机病毒威胁及网络安全状况。自2001起,我国每都会进行计算机病毒疫情的网上调查,这项活动已成为了评估和提升我国信息网络安全水平的...
无棣事业编招聘2015考试真题及答案解析整理.docx
10-04
- 某甲收受贿赂但未完成承诺事项,且在退款时威胁对方,这种行为可能构成受贿罪和敲诈勒索罪,具体定罪需要结合法律规定和案件详情。 11. 输血知识与医疗实践: - 输血前的检疫有助于减少疾病传播的风险,但在...
信息安全概论:敲诈病毒技术分析与防范
# 1. 引言 ## 1.1 信息安全的重要性 信息安全是指对信息系统中的信息和数据进行保护,防止其遭到未经授权的访问、使用、泄露、破坏或篡改的一系列技术、政策、标准和规程。随着互联网和信息化技术的飞速发展,信息...
Android手机防病毒软件源码
04-07
Android一键扫描恶意程序包括应用权限的扫描和应用数字特征签名的扫描,通过与病毒数据库的比对,确定Android系统中是否存在恶意程序。
金山手机卫士病毒数据库
03-18
antivirus.db 金山手机卫士病毒数据库,学习传智播客手机安全卫士案例,手机杀毒功能 需要的病毒数据库
国内出现冒充游戏辅助的手机勒索病毒
weixin_33709364的博客
07-04 218
昨日,国内信息安全公司——360手机卫士监测到一款冒充时下热门手游《王者荣耀》辅助工具的手机勒索病毒,该勒索病毒被安装进手机后,会对手机中照片、下载、云盘等目录下的个人文件进行加密,并向用户索要赎金。 对此,信息专家发布安全预警提醒,该勒索病毒是国内第一款文件加密型勒索病毒,有爆发迹象,或者会威胁几乎所有安卓平台的手机,用户手机一旦中毒,可能丢失手机中的...
android病毒库下载,Android.DownLoader.4366
weixin_42499681的博客
05-26 762
/data/data/####/.jg.ic/data/data/####/2094700396.jar/data/data/####/2EGYbCump.jar/data/data/####/61561a876896a2a77dd8fe35b4403c0b.db/data/data/####/8t29lhY.jar/data/data/####/979Vi3D.jar/data/data/###...
勒索病毒2019常见的后缀有ITLOCK/AOL/VC/phobos/ETH/x3m/qwex/H
weixin_34198797的博客
04-17 1431
流行的勒索病毒后缀ITLOCK/AOL/VC/phobos/ETH/x3m/qwex/HRMGandcrab v5.2、com、cmg、mg、mtp等网络安全问题迫在眉睫,做好物理隔绝备份最有效。 为防止用户感染该类病毒,我们可以从安全技术和安全管理两方面入手:1、不要打开陌生人或来历不明的邮件,防止通过邮件附件的;2、尽量不要点击office宏运行提示,避免来自office组件的病毒感染;3、需...
对勒索病毒GandCrab5.1的一次成功应急响应(附解密工具+加密样本)
redwand的博客
03-20 1484
十五晚上,在家刚吃完元宵接到电话,朋友公司遭受勒索病毒攻击,数据库文件被加密,黑客通过暗网勒索 15000 美金赎金。一听勒索软件,顿时觉得头大,只好死马当活马医了,开始行动。先看下病毒在每个目录留下的 txt 文件 CVMKJ-DECRYPT.txt。 可以看到该病毒的名称及本,GandCrab v5.1,一顿百度,了解到,之前已经有某安全厂商对此病毒进行了一系列分析,直接拿来主义...
猫鼠游戏之勒索病毒来袭
qq_34325583的博客
10-27 574
勒索病毒来袭 昨天夜间,全球近 100 个国家的计算机同时遭到了来自一款名为wana Decrypt0r 2.0 的勒索软件的攻击。几乎同时,国内各大高校中教育网中计算机也遭到了攻击,有不少学生朋友已经中招。中国各地许多高校学生突然发现自己电脑中了一种神秘的病毒病毒是全球性的,就中国来说疑似通过校园网传播,十分迅速。目前受影响的有贺州学院、桂林电子科技大学、桂林航天工业学院、浙江传媒学院、杭州
20195最新勒索病毒样本分析及数据恢复
weixin_33827731的博客
05-22 4472
1、GANDCRAB病毒病毒本:GANDCRAB V5.2中毒特征:<原文件名>.随机字符串勒索信息:随机字符串-MANUAL.txt特征示例: readme.txt.pfdjjafw 2、GlobeImposter 3.0病毒(十二×××病毒)中毒特征:<原文件名>.XXXX4444勒索信息:HOW_TO_BACK_FILES.txt how_to_back_file...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值