一、前言
5月12日,一场全球性互联网灾难悄然而至,一款名为WannaCRY的PC端恶意勒索软件利用NSA泄漏的危险漏洞“永恒之蓝”,给100多个国家和地区10万台电脑造成了巨大的损失。到2017年为止,全球手机用户总量已经突破50亿,而作为占比超过50%的android系统中,同样有许许多多类似WannaCRY的勒索软件正在危害我们的财产安全。
接下来,以一款主流的Android端恶意锁屏勒索应用为例,结合人工分析的方式,深入剖析勒索应用的恶意行为。知己知彼,才能更好的防患于未来。
二、运行特征
这是一款伪装成”秒赞大师”的锁屏勒索恶意应用
第一次点击启动之后,主界面会弹出诱骗激活设备管理员权限的对话框
当你点击激活后,恭喜你,你的屏幕将被锁定,无法进入手机的主界面,除非联系勒索者获得解密密码
那么,接下来我们一起来分析下这款勒索软件的实现原理,并且破解出它的解锁密码
三、准备工作
1. 分析工具:JEB/Android killer
JEB是一款收费的Android应用程序反编译工具,解析能力强,兼容性高。
Android Killer是一款免费的android应用程序反编译工具,集Apk反编译、Apk打包、Apk签名,编码互转,ADB通信等特色功能于一身。
可根据个人的习惯选择工具,这里将使用jeb进行分析
2. 分析环境:android模拟器
主要用于恶意应用的运行时分析,可使用android原生的模拟器,也可使用第三方如genymotion、天天模拟器等
四、流程分析
应用整体运行流程图如下
接下来,我们对整个流程进行详细的分析
1. 入口点
首先,我们使用jeb打开要分析的apk
其中左边为该应用反编译出来的类列表,右边为AndroidManifest.xml清单文件的内容
我们可以发现,应用的入口类为com.bugzapk.b,接下来我们分析下b类的执行逻辑,b类对应的界面如下,该界面只有一个按钮