移动端DroidKongfu病毒实例分析学习

最新推荐文章于 2023-03-01 22:57:14 发布
最新推荐文章于 2023-03-01 22:57:14 发布
阅读量907 收藏 1
点赞数 2
文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Th0r_Sec/article/details/124657273
版权
本文通过对DroidKongfu病毒apk样本的分析,详细探讨了病毒的权限需求、源码行为、网络活动及原生层的恶意操作。在java层,病毒请求多个敏感权限,并启动线程进行广告下派。在native层,病毒生成恶意主体文件并利用root权限感染系统。在线平台的分析结果与手动分析相吻合,提供了深入理解病毒行为的依据。
摘要由CSDN通过智能技术生成

前言

纸上得来终觉浅,为了更好的将知识掌握,从网上下载了这个病毒的apk样本来分析学习。

正文

这里先将apk样本放到在线的文件分析平台看一下,这里选择的是国内的平台,书上推荐的是Mobile SANDBOX,这个平台有一个优势,就是会保存运行时的流量包,可以自己再对流量包进行手动分析。在等待平台跑出结果的时候,先自己手动分析一下。

这里先用Android Killer看一下java层的代码。

可以看到这里一共需要五个权限。

android.permission.INTERNET

android.permission.ACCESS_NETWORK_STATE

android.permission.ACCESS_WIFI_STATE

android.permission.READ_PHONE_STATE

android.permission.ACCESS_COARSE_LOCATION

总共申请获取了网络、WIFI、读取、定位这几个权限。

最低0.47元/天 解锁文章
Th0r_Sec
关注
实战_分析病毒锁屏apk
qq_34108752的博客
09-20 385
样本:sjrj.apk 安装到手机上 运行 提示 要root权限 获取root权限后 出来 获取网络框 然后 就重启 重启后 被锁屏了 提示 这里输入密码 分析 一: androidKiller 反编译 sjrj.apk 搜索 关键字 这里输入密码 没结果 unicode编码 搜索 也没 搜索 qq关键字也没 这时就想 咋会没关键字了,正常来说 搜索关键字 会有的啊 关键字哪去了呢? ...
一次简单的分析手机APK病毒木马
aozhuo4755的博客
01-07 1625
写个笔记记录一下,起因是朋友在QQ上发了个连接叫我看看 安不安全,叫我帮他看看,反正在店里待着也没生意,那就顺便看看咯。 打开这个网址 会自动弹出下载一个名为OOXX的APK安装包。 起先我的思路是想先从这个网站下手!先搞定这个网站或者服务器吧, 然后我就去网站主页看了下。是一个网址缩短(变形)的网站。 那么我们给地址还原成真实地址,http://1...
Android病毒分析基础(一)
最新发布
Andy0214的专栏
03-01 5883
前期准备 环境准备 主要就是Android开发的环境,详细的可以参考非充老师白皮书第一章,其中包含了Win、Linux环境,如果需要mac环境配置可以自行检索,或者公众号留言,我们会在后期文章中专门增加一篇。 工具准备 反编译工具 1、apktool 2、jeb 3、jadx 4、GDA 样本获取网站 koodous appscan 在线查杀检测工具 FileLine 静态代码检测:火线 | FireLine | 静态代码检测 腾讯移动安全实验室:在线查毒-安全实验室-腾讯手机管家官方网站 deguar
Android病毒分析报告】 - Extension
移动编程
02-28 169
本文章由Jack_Jia编写,转载请注明出处。文章链接:http://blog.csdn.net/jiazhijun/article/details/8623275作者:Jack_Jia 邮箱:309zhijun@163.com 一、序言 随着Android手持设备数量的飞速增长,越来越多的病毒开发者开始聚焦到Android平台。为了躲避杀毒软件的查杀,病毒代码的复杂度也在...
Android病毒样本分析(1)
ireader135的博客
03-23 2008
1.基本信息 病毒名称: 1.apk 文件名称: 建设控件 文件MD5: 5B22058C7632AA3211987B1ABDD8E3D0 文件包名: tk.jianmo.study 数字签名:O=1_sign.apk   2.基本行为 程序启动后直接进入锁屏界面,开机自启动,按键无响应 3.详细分析 1.  通过改写onKeyDown方法,屏蔽
恶意软件检测正常apk样本整理
qq_44976743的博客
07-10 1911
恶意软件检测正常apk样本整理说明 说明 本学期因一门课的原因做了恶意软件检测的项目,做的是安卓的软件方面的,然后通过老师跟研究生学长要了恶意apk的样本,恶意软件就先不分享了,正常样本的话,自己用别人爬虫好的大量网址,遍历下载整理了大量的正常apk样本,然后也有直接从国外的网站下下来的,整理如下: Normal1:400个 Normal2:500个 Normal3:220个 Normal4:99个 !!!注意先保存再下载,也不要在线解压!!! Normal1的百度网盘链接:normal1的百度网盘链接
Android版本的 Wannacry 文件加密病毒样本分析 附带锁机
hgfujffg的博客
11-13 1262
Android版本的 Wannacry 文件加密病毒样本分析 附带锁机
Android进阶之路 - 病毒检测工具
Android、前端、小程序、后端
03-20 8028
去年的时候遇到我司app被腾讯、OPPO平台下架的问题,下架原因为apk内含木马程序,奇怪的是近十几个应用平台中仅有很小的一部分有这种情况; 经过多方查询后发现主要为腾讯管家升级后针对部分场景判定为木马程序,故如果对应的平台有使用腾讯杀毒库作为校验条件的话,也会连带报出apk的安全隐患 ~ so ,抽时间整理了一下我是如何查杀病毒de ~ 解决问题的第一步往往是定位问题 , ...
最流行的10种Android恶意软件类别解释
ybdesire的专栏
02-10 6063
Android恶意软件的专业分类方法,比如GinMaster,Geinimi,你认识吗?
Android软件安全与逆向分析用到的工具
05-06
包含以下文件 AndBug-master.zip androguard-1.6.tar.gz AntiLVL-1.4.0-linux.zip AntiLVL-1.4.0-win.zip apktool-install-linux-r04-brut1.tar.bz2 apktool-install-windows-r04-brut1.tar.bz2 apktool1.4.3.tar.bz2 baksmali.jar ddx.jar dex.idc dex2jar-0.0.9.9.zip DexFixer.exe DexFixer_src.zip gephi0.8.1-beta.setup.exe --拿掉了 ilspy.zip jd-gui-0.3.3.linux.i686.tar.gz jd-gui-0.3.3.windows.zip jni.idc mercury-v1.1.zip Notepad++.zip signapk.zip smali.jar tcpdump Wireshark-win32-1.8.2.exe --拿掉了
安卓良性样本apk,爬虫爬取共20w个最新的正常良性apk
07-28
20w个良性apk下载地址,直接wget url即可下载
Android.KungFu手机病毒清理方法
云守护的专栏
05-24 1337
Android.KungFu最早在6月份被安全厂商截获,随后又出现了至少3种不同的变种,截止到发文为止,这款病毒仍然在不断演化。KungFu系列病毒的特征非常典型,感染此病毒的手机会自动在后台静默下载并安装某些软件,当手机感染此病毒后使用常规安全软件无法彻底清除,甚至将手机恢复至出厂设置也无法解决问题,这款病毒通常会捆绑在某些合法软件内,在第三方Android应用市场和论坛中传播,常见的宿主包括一
会发送通知信息的Android手机病毒
亚信安全-云安全博客
11-25 1656
作者:趋势科技威胁分析师Mark Balanza 趋势科技最近分析了手机病毒DroidKungFu的最新变种:ANDROIDOS_KUNGFU.CI。当我们监控ANDROIDOS_KUNGFU.CI与远程服务器之间的网络通讯时,偶然看到了一个删除特定软件的指令。 在上图所示的指令中,服务器正在指示恶意软件删除一个名为com.practical.share的软件。趋势科技以前
Android攻击方式与安全分析
康雨城
12-17 3857
Android安全分析可以分为静态分析和动态分析Android攻击包括Zimperlich恶意软件、提权攻击、中间人攻击 MITM、恶意软件变形技术
Android软件安全与逆向分析》— Android 书籍
qq_27494201的博客
11-25 1578
文章目录第1章 Android程序分析环境搭建 1第2章 如何分析Android程序 16第3章 进入Android Dalvik虚拟机 29第4章 Android可执行文件 56第5章 静态分析Android程序 94第6章 基于Android的ARM汇编语言基础——逆向原生! 157第7章 Android NDK程序逆向分析 187第8章 动态调试Android程序 236第9章 Android软件的破解技术 265第10章 Android程序的反破解技术 310第11章 Android系统攻击与防范
Android木马病毒com.schemedroid分析报告
Fly20141201. 的专栏
08-03 6497
安全公司移动病毒分析报告的面试题目,该病毒样本的代码量比较大,最大的分析障碍是该病毒样本的类名称和类方法名称以及类成员变量的名称被混淆为无法辨认的特殊字符,每个被分析的类中所有的字符串都被加密处理了并且每个类的加密算法还不是一样的,人肉还原出被加密的字符串是很不现实的,该样本大约有100多个类,需要处理的加密字符串的解密高达几千个之多,有兴趣和能拿到样本的同学可以挑战一下自己,暂不提供样本。经...
南明离火 - 移动安全分析平台,APK反编译 病毒检测 漏洞挖掘工具使用教程
ohyeah521的专栏
11-07 3517
南明离火Apk反编译,病毒查杀工具使用方法
安卓开发360扫描出现病毒“盗号木马”
qq_36338093的博客
02-22 2678
安装开发项目,之前的版本没有问题。 debug调试的时候,也没有发现问题。 签名打包的时候, 360扫描apk出现病毒“盗号木马” 提示:使用与软件本身属性不符的风险权限 如下图所示: 发生的原因: 经过各种情况的测验,有如下发现: 1. 签名:用原始keystore签名,360报木马。怀疑是原始keystore感染木马,于是创建了一
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值