【Android病毒分析报告】 - Claco

最新推荐文章于 2023-03-01 22:57:14 发布
最新推荐文章于 2023-03-01 22:57:14 发布
阅读量3.6k 收藏 1
点赞数 3
文章标签: Android Trojan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/androidsecurity/article/details/8627309
版权

本文章由Jack_Jia编写,转载请注明出处。  
文章链接:http://blog.csdn.net/jiazhijun/article/details/8627309
作者:Jack_Jia    邮箱: 309zhijun@163.com


一、病毒样本基本信息

       Md5:c5a2d14bc52f109a06641c1f15e90985

       Package:smart.apps.droidcleaner

New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究
二、病毒代码分析
   
     1、查看AndroidMainfest.xml文件。
          通过配置文件可以看出,该程序有两个启动入口点,.BootCompletedReceiver和.DroidClean

New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究
 
 2、代码分析流程

   恶意代码树如下图所示:

New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究
 BootCompletedReceiver代码如下:

New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究
 
DroidClean代码如下:

New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究
 通过以上代码可以看出,该恶意程序两个代码入口点做了相同的事情,启动ConnectorService服务。
 下面开始分析ConnectorService服务代码。

ConnectorService部分代码如下:
New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究
 
New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究
 
New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究
 

通过代码可以看出ConnectorService启动后,Socket请求服务器获取指令,根据服务器端返回指令,该恶意程序能够完成以下恶意行为:

         1、发送特定短信
         2、打开wifi连接
         3、获取设备信息
         4、通过浏览器访问特定网页
         5、上传SD卡内容到服务器
         6、上传所有短信息 
         7、删除所有短信息
         8、上传所有联系人信息、照片和位置信息到服务器

该Android病毒是第一个能够攻击PC的木马,当手机设备连接电脑后,该病毒会从服务器下载PC病毒( Backdoor.MSIL.Ssucl.a .)到SD卡,当下次手机以USB模式连接电脑后,该PC病毒就会开始发作。

感染PC代码如下:

  New Android Trojan - Claco - 309jiazhijun - Android手机病毒分析及研究
 关于下载的PC病毒的分析可以通过  http://www.securelist.com/en/blog/805/Mobile_attacks 了解更多。


三、相关链接

        http://www.securelist.com/en/blog/805/Mobile_attacks

        http://sec.chinabyte.com/284/12539784.shtml


Jack_Jia
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android日志分析工具-V3.6.4
07-14
为了解决这些问题,故而开发了此款软件,该软件不仅解决了上述问题,而且还支持对日志文件进行离线分析和导出备份,支持对日志内容的横向过滤和纵向过滤,且可通过ADB工具直连物理设备进行日志的监控和分析,无需...
勒索病毒分析报告
w_g3366的博客
09-07 3679
文章目录勒索病毒分析报告1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标1.4 样本行为概述2.具体行为分析2.1 主要行为2.2 提取恶意代码2.3 恶意代码分析3.解决方案3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤或是查杀思路 勒索病毒分析报告 1.样本概况 1.1 样本信息 病毒名称:DBD5BEDE15DE51F6E5718B2CA470FC3F 所属家...
android 开源病毒库,ClamAV+ClamTK,开源杀毒软件
weixin_35128928的博客
05-30 1549
1.安装clamavsudo apt-get install clamav clamav-daemon clamav-freshclam2.安装图形化的ClamTksudo apt-get install clamtk3.升级病毒库:sudo freshclam4.扫描文件:sudo clamscan /以上命令会扫描所有目录,需要比较长的时间,也可以指定目录进行扫描,另外,以上命令只会给出扫描结...
android art源码分析,Android ART机制分析
weixin_33226548的博客
05-26 510
本文章由Jack_Jia编写,转载请注明出处。文章链接:外链网址已屏蔽作者:Jack_Jia邮箱:2013年度“博客之星”投票火热进行中,欢迎投票支持我:一、Android系统性能提升之路Dalvik虚拟机作为Android平台的核心组成部分之一,允许在有限的内存资源中同时运行多个虚拟机实例。Dalvik虚拟机通过以下方式提升性能:1、DEX代码安装时或第一次动态加载时odex化处理。2、Andr...
Android APK加壳技术方案【1】
热门推荐
移动安全研究和Android/iOS/小程序隐私合规
03-18 7万+
本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/8678399 作者:Jack_Jia    邮箱: [email protected] 一、什么是加壳?        加壳是在二进制的程序中植入一段代码,在运行的时候优先取得程序的控制权,做一些额外的工作。大多数病毒就是基于
Android实验报告--扫雷游戏
01-14
Android实验报告。在Android下java开发一个扫雷游戏 资源里有报告和源码 此源码为网上开源资源,请慎重使用。 报告也为应付考试之用,如您对报告和源码要求较高,请勿下载! 如果您是为应付考试之用,请下载后适当...
Android ADT(ADT-23.0.6.zip)离线包
06-19
Android ADT离线包(ADT-23.0.6.zip)
Android Studio大作业-物流管理系统(可以注册登录)
07-15
安卓的期末的大作业(免积分下载),用Android Studio做的,有注册登录功能,可以录入物流信息,查询物流信息,适合新手学习使用,项目详情看我发布的文章
Android APK加壳技术方案【2】
移动安全研究和Android/iOS/小程序隐私合规
04-23 5万+
本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/8809542 作者:Jack_Jia    邮箱: [email protected]  一、序言         在上篇“Android APK加壳技术方案”(http://blog.csdn.net/jiazh
Android手机病毒分析(一)
Charles_sch的博客
02-06 3980
Android手机病毒分析笔者刚刚做过三个月的手机病毒分析师,主要工作做的就是静态分析可疑的手机APP,找出这些手机应用侵害手机用户的证据,现在想把这些工作总结一下,分享出来。不足之处,欢迎指正。(这里的病毒不是我们一般意义上的病毒,而是侵害到手机用户的恶意APP。)逆向我们都知道,Android与其他的Java不同是运行在Dalvik虚拟机上的, 其编译过程如图所示,静态分析可以将apk反编译为S
android 病毒 装不了机,手机中毒不用慌!教你几招安卓手机怎么彻底的进行杀毒...
weixin_32821251的博客
05-26 6520
原标题:手机中毒不用慌!教你几招安卓手机怎么彻底的进行杀毒手机如果中毒了,你知道要怎么彻底进行杀毒吗?今天我就和大家分享几个安卓手机彻底杀毒以及有效预防病毒的方法。 一、安卓手机彻底杀毒的方法方法1:使用自带的手机管家有部分安卓机的系统已经提供了手机管家,以OPPO手机为例,你只要点击打开该应用程序。 然后点击“病毒扫描”功能选项。 就可以自动扫描查杀病毒了,扫描结束后会给出相应的健康评估状态。哈...
android手机病毒原理,安卓手机病毒的原理是什么
weixin_30070663的博客
05-26 1855
安卓手机病毒的原理是什么Android系统因其开源性而受到了众多手机厂商和用户的倾爱,因为开源,所以降低了手机厂商的使用成本,也能让更多的开发者加入Android应用 的开发行列。下面是jy135小编收集整理的安卓手机病毒的原理是什么,欢迎阅读。病毒”原理Android系统因其开源性而受到了众多手机厂商和用户的倾爱,因为开源,所以降低了手机厂商的使用成本,也能让更多的开发者加入Android应用 ...
Android病毒分析技巧和方法总结
进击的星空
03-10 2288
Android病毒分析技巧和方法分析前的准备工作: 析前首先了解应用自身的的功能,不要将应用自身的工作当作恶意行为来处理. 看权限,根据应用的权限判断应用可以产生哪些行为,并判断出这些权限是否和应用的功能相关,如果有与应用本身不相关的功能那么针对这些权限的产生的行为要进行确认 的病毒属于在正常应用中插入恶意代码,并且病毒行为需要的权限和应用本身需要的权限是重复的,此时要辨别出那些代码是病毒的代码,那
Android病毒分析基础(一)
Andy0214的专栏
03-01 5738
前期准备 环境准备 主要就是Android开发的环境,详细的可以参考非充老师白皮书第一章,其中包含了Win、Linux环境,如果需要mac环境配置可以自行检索,或者公众号留言,我们会在后期文章中专门增加一篇。 工具准备 反编译工具 1、apktool 2、jeb 3、jadx 4、GDA 样本获取网站 koodous appscan 在线查杀检测工具 FileLine 静态代码检测:火线 | FireLine | 静态代码检测 腾讯移动安全实验室:在线查毒-安全实验室-腾讯手机管家官方网站 deguar
Android病毒分析报告】 - BadNews
移动编程
04-28 182
本文章由Jack_Jia编写,转载请注明出处。文章链接:http://blog.csdn.net/jiazhijun/article/details/8863104 作者:Jack_Jia 邮箱:[email protected] 前段时间Lookout安全团队发现了一个利用广告网络推送恶意软件的病毒样本BadNews。该广告网络将向感染设备推送AlaphSMS恶意软件(ht...
Android病毒分析报告】 - Usbcleaver
移动编程
06-27 118
本文章由Jack_Jia编写,转载请注明出处。文章链接:http://blog.csdn.net/jiazhijun/article/details/9179749 作者:Jack_Jia 邮箱:[email protected] 一、病毒样本基本信息 Md5:283d16309a5a35a13f8fa4c5e1ae01b1 Package:...
一个简短的android病毒分析
songguobing的专栏
07-12 2368
由于智能手机的普及,手机病毒逐渐走上前台,病毒的地下产业链也逐渐注意到这一块。总体来说,目前的手机病毒不像PC病毒那样(初期的pc病毒主要是为了显示黑客的个人能力)。手机病毒的初衷很简单,主要是为了窃取隐私和获取经济利益。       下面就简单的介绍一个android平台上手机病毒分析的大体流程,首先我们经常用到的两款工具是apktool和jd-gui,这两款工具是分析的利器。      当
android-x86 9.0-r2
最新发布
01-07
android-x86 9.0-r2 是一个基于 Android 操作系统的 x86 架构的变种版本。它是由第三方开发者团队开发,并且旨在将 Android 系统移植到台式机或笔记本电脑等使用 x86 处理器的设备上。 android-x86 9.0-r2 是基于 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值