本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.csdn.net/jiazhijun/article/details/8627309
作者:Jack_Jia 邮箱:309zhijun@163.com
一、病毒样本基本信息
Md5:c5a2d14bc52f109a06641c1f15e90985
Package:smart.apps.droidcleaner
![New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究 New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究](https://img-my.csdn.net/uploads/201303/01/1362138511_3204.png)
二、病毒代码分析
1、查看AndroidMainfest.xml文件。
通过配置文件可以看出,该程序有两个启动入口点,.BootCompletedReceiver和.DroidClean
![New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究 New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究](https://img-my.csdn.net/uploads/201303/01/1362138525_6737.png)
恶意代码树如下图所示:
![New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究 New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究](https://img-my.csdn.net/uploads/201303/01/1362138538_7387.png)
BootCompletedReceiver代码如下:
![New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究 New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究](https://img-my.csdn.net/uploads/201303/01/1362138553_4856.png)
DroidClean代码如下:
![New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究 New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究](https://img-my.csdn.net/uploads/201303/01/1362138573_2522.png)
下面开始分析ConnectorService服务代码。
ConnectorService部分代码如下:
![New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究 New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究](https://img-my.csdn.net/uploads/201303/01/1362138589_4373.png)
![New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究 New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究](https://img-my.csdn.net/uploads/201303/01/1362138605_3126.png)
![New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究 New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究](https://img-my.csdn.net/uploads/201303/01/1362138618_1681.png)
通过代码可以看出ConnectorService启动后,Socket请求服务器获取指令,根据服务器端返回指令,该恶意程序能够完成以下恶意行为:
1、发送特定短信
2、打开wifi连接
3、获取设备信息
4、通过浏览器访问特定网页
5、上传SD卡内容到服务器
6、上传所有短信息
7、删除所有短信息
8、上传所有联系人信息、照片和位置信息到服务器
该Android病毒是第一个能够攻击PC的木马,当手机设备连接电脑后,该病毒会从服务器下载PC病毒(
Backdoor.MSIL.Ssucl.a
.)到SD卡,当下次手机以USB模式连接电脑后,该PC病毒就会开始发作。
感染PC代码如下:
![New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究 New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究](https://img-my.csdn.net/uploads/201303/01/1362138633_8625.png)
三、相关链接
http://www.securelist.com/en/blog/805/Mobile_attacks
http://sec.chinabyte.com/284/12539784.shtml