obad病毒整理汇总(最复杂精致的android病毒)

最新推荐文章于 2021-05-26 13:16:45 发布
最新推荐文章于 2021-05-26 13:16:45 发布
阅读量258 收藏
点赞数
文章标签: 移动开发 python java
原文链接:https://my.oschina.net/u/1416685/blog/181682
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png
起源

该样本起源于一篇卡巴斯基实验室的报告 1,被誉为最复杂精致的android病毒。


特点

1、AndroidManifest使用非常规方法构造。
左为obad的AndroidManifest,右为普通的AndroidMainifest。
可以看出AndroidMainifest缺少 android:name这样的标签 。这是一个以前不可知的Android小漏洞引起,解析时正常,但不添加这些标签生成apk则会失败。
05114118_rnd4.png 05114119_yhzx.png




2、类名高度混淆
05114119_AvU6.jpg




3、字符串的使用均经过dexguard加密 2
1


解密脚本如下:
strings  = [0x4C, 0xE,  29- 7, 0x10,  - 54, 0x3E, 0x17,  - 9- 44, 0x4C, 0xA, ...]
c0, c1, c2  = (0x199, 0x3E,  - 8)
 
def decrypt(length, curChar, pos) :
  length  += c0
  curChar  += c1
  r  =  ''
   for i  in  range(length) :
    r  +=  chr(curChar  & 0xFF)
    curEncodedChar  = strings[pos]
    pos  +=  1
    curChar  = curChar  + curEncodedChar  + c2
   return r


解密后显示如下 3
05114121_fCds.png




4、Api方法调用均使用反射




5、利用一个当时未知的设备管理器漏洞获取不可卸载权限
诱导用户激活设备管理器,但之后不可取消。
05114121_0vRh.jpg  05114121_VhIw.jpg


漏洞原理 4

       首先我们来看一下Settings app如何形成设备管理器列表的:

       相关类:

       packages\apps\settings\src\com\android\settings\DeviceAdminSettings.java


   public class DeviceAdminSettings extends ListFragment {
 
    DevicePolicyManager mDPM;
    final HashSet<ComponentName> mActiveAdmins = new HashSet<ComponentName>();
    final ArrayList<DeviceAdminInfo> mAvailableAdmins = new ArrayList<DeviceAdminInfo>();

    @Override
    public void onResume() {
        super.onResume();
        updateList();
    }

    void updateList() {
        mActiveAdmins.clear();
        List<ComponentName> cur = mDPM.getActiveAdmins();
        if (cur != null) {
            for (int i=0; i<cur.size(); i++) {
                mActiveAdmins.add(cur.get(i));
            }
        }

        mAvailableAdmins.clear();
        List<ResolveInfo> avail = getActivity().getPackageManager().queryBroadcastReceivers(
                new Intent(DeviceAdminReceiver.ACTION_DEVICE_ADMIN_ENABLED),
                PackageManager.GET_META_DATA);//通过查询广播”android.app.action.DEVICE_ADMIN_ENABLED“来得到可用的设                                                                                             //备管理器程序列表
        int count = avail == null ? 0 : avail.size();
        for (int i=0; i<count; i++) {
            ResolveInfo ri = avail.get(i);
            try {
                DeviceAdminInfo dpi = new DeviceAdminInfo(getActivity(), ri);
                if (dpi.isVisible() || mActiveAdmins.contains(dpi.getComponent())) {
                    mAvailableAdmins.add(dpi);
                }
                //如果应用已激活设备管理器&&注册了”android.app.action.DEVICE_ADMIN_ENABLED“就出现在可用设备管理器列表
            } catch (XmlPullParserException e) {
                Log.w(TAG, "Skipping " + ri.activityInfo, e);
            } catch (IOException e) {
                Log.w(TAG, "Skipping " + ri.activityInfo, e);
            }
        }
        
        getListView().setAdapter(new PolicyListAdapter());
    }

   .......
    
    class PolicyListAdapter extends BaseAdapter {
      .......

        public void bindView(View view, int position) {
            final Activity activity = getActivity();
            ViewHolder vh = (ViewHolder) view.getTag();
            DeviceAdminInfo item = mAvailableAdmins.get(position);//显示mAvailableAdmins中数据
            vh.icon.setImageDrawable(item.loadIcon(activity.getPackageManager()));
            vh.name.setText(item.loadLabel(activity.getPackageManager()));
            vh.checkbox.setChecked(mActiveAdmins.contains(item.getComponent()));
            try {
                vh.description.setText(item.loadDescription(activity.getPackageManager()));
            } catch (Resources.NotFoundException e) {
            }
        }
    }

}

由Android Settings App源代码可以看出,如果想在设备管理器列表中”隐身“,只要不注册”android.app.action.DEVICE_ADMIN_ENABLED“广播就行。




动态分析相关



检查网络链接
05114122_iMSA.png



申请设备管理器权限
05114122_8XOD.png
根据卡巴斯基的报告会接收服务器指令,但跑动态分析的时候没发现其接收指令,不知道是否现在已不起作用。




参考链接

其他:





转载于:https://my.oschina.net/u/1416685/blog/181682

weixin_34281477
关注
谈谈最近很火的android手机病毒
张竞成的博客
08-03 3万+
““XXX(机主姓名)看这个,ht://********XXshenqi.apk”最近一种手机病毒爆发,机主收到这样的短信,开头是以发送者手机通讯录存储的名字为开头,然后再让对方点开一个网页链接。 其实熟悉android的朋友一看就明白这个病毒原理其实很简单。下面就来谈谈这个病毒的原理和防范方法。
decryptingObadStrings
05-14
解密ObadStrings 我研究了Obad的字节码,并设法破解了某些字符串的加密方法。
Android病毒分析报告】 - Obad
移动编程
06-08 561
最近卡巴斯基报出Backdoor.AndroidOS.Obad.a病毒(http://www.securelist.com/en/blog/8106/The_most_sophisticated_Android_Trojan),该病毒利用Android系统未知安全漏洞。 以下是360病毒分析报告: 最近有媒体爆料,最高级的Android木马已经现身,据称“它能利用Andr...
Backdoor.AndroidOS.Obad.a 木马的分析
网生代
03-20 1963
http://bbs.kaspersky.com.cn/portal.php?mod=view&aid=2
Android设备管理器漏洞2--禁止用户取消激活设备管理器
weixin_33816821的博客
07-16 493
   2013年6月,俄罗斯安全厂商卡巴斯基发现了史上最强手机木马-Obad.A。该木马利用了一个未知的Android设备管理器漏洞(ANDROID-9067882),已激活设备管理器权限的手机木马利用该漏洞,能够在设置程序的设备管理器列表中隐藏,这样用户就无法通过正常途径取消该手机木马的设备管理器权限。从而达到无法卸载的目的。Android4.2版本号以上系统已经修复该漏洞。(漏洞详情:ht...
android.benign病毒,外文翻译原文-基于Android的软件安全技术研究.pdf
weixin_28800247的博客
05-26 531
Journal of Information Security, 2014, 5, 56-64Published Online April 2014 in SciRes. /journal/jis/10.4236/jis.2014.52006Malware Analysis and Classification:A SurveyEkta Gandotra, Divya Bansal, Sanjee...
安卓最聪明木马OBAD:加密与高级隐蔽揭秘
最近,卡巴斯基实验室的专家Roman Unuchek接收到一款特殊的安卓应用程序进行深入分析,这款被称为OBAD(最聪明的Android木马)的恶意软件引起了高度关注。在初步观察中,专家们注意到几个关键特征:首先,该应用的...
usb功能讲解和应用技术
10-15
USB,全称Universal Serial Bus,即通用串行总线,是一种连接计算机系统和外部设备的接口标准,允许数据的高速传输。USB技术自1990年代末推出以来,已经经历了多个版本的发展,包括USB 1.0、USB 2.0、USB 3.x(3.0、...
2006-2018年长江经济带重点面板数据(EXCEL版)
最新发布
04-14
2006-2018年长江经济带重点面板数据(EXCEL版) 包括上海市、南京市、 无锡市、徐州市、常州市、杭州市、宁波市、温州市等110个城市数据 具体指标:(I ... (OBad)工业so2排放量 (OBad)工业烟(粉)尘排 放量
一个简单的Android木马病毒的分析
热门推荐
Fly20141201. 的专栏
09-09 3万+
一、样本信息 文件名称: 一个安卓病毒木马.apk  文件大小:242867 byte   文件类型:application/jar   病毒名称:Android.Trojan.SMSSend.KS 样本MD5:05B009F8E6C30A1BC0A0F793049960BC   二、病毒行为分析 0x1. 静态注册Android
Android病毒分析技巧和方法总结
进击的星空
03-10 2358
Android病毒分析技巧和方法分析前的准备工作: 析前首先了解应用自身的的功能,不要将应用自身的工作当作恶意行为来处理. 看权限,根据应用的权限判断应用可以产生哪些行为,并判断出这些权限是否和应用的功能相关,如果有与应用本身不相关的功能那么针对这些权限的产生的行为要进行确认 的病毒属于在正常应用中插入恶意代码,并且病毒行为需要的权限和应用本身需要的权限是重复的,此时要辨别出那些代码是病毒的代码,那
android.benign病毒,benign virus
weixin_35899665的博客
05-26 627
相关文献INTRODUCTION The emergence of second generation direct-acting antivirals (DAAs) has radically changed the landscape of treatment of chronic hepatitis C virus (HCV) infection. A once-daily, single-...
Android病毒分析报告】 - ZxtdPay 吸费恶魔
ithome
09-13 146
本文章由Jack_Jia编写,转载请注明出处。文章链接:http://blog.csdn.net/jiazhijun/article/details/11581543 作者:Jack_Jia 邮箱:309zhijun@163.com 近期百度安全实验室发现一款“吸费恶魔“新病毒,该病毒目前已感染QQ浏览器、100tv播放器、富豪炸金花等大批流行应用。该病毒启动后,后台偷偷访问远端服务器获取扣...
Android----病毒查杀原理及应用
郝高明
05-11 4425
今天看到一篇帖子,是关于病毒查杀的问题,那片帖子写的很详细,将原理都讲述出来了,后来根据帖子的代码自己实例验证了一下,发现是可行的,所以,现在就记录一下学习的过程。(此文有借鉴的地方,关键是大家能学到技术)           杀毒原理:首先给大家看一副图片(借鉴): 原理简介:      首先,我们需要部署大量的“蜜罐”服务器,也就是没有安装杀毒软件、防火墙等的赤裸裸的手机或服务器,让
android triada 病毒
lei7143的专栏
06-01 1034
https://github.com/DroidPluginTeam/DroidPluginDroidPlugin 
Android第二个绕过签名认证漏洞原理
ithome
08-15 361
一、漏洞描述 该漏洞最早由国内“安卓安全小分队”(http://blog.sina.com.cn/u/3194858670)发现并提交给Google,Google迅速修复了该漏洞,对应编号为bug 9695860。该漏洞是即Bluebox Security提报Android 绕过应用签名认证漏洞后又一成功绕过Android签名认证漏洞。该漏洞原理与Bluebox Securit...
Android手机病毒分析(一)
Charles_sch的博客
02-06 4093
Android手机病毒分析笔者刚刚做过三个月的手机病毒分析师,主要工作做的就是静态分析可疑的手机APP,找出这些手机应用侵害手机用户的证据,现在想把这些工作总结一下,分享出来。不足之处,欢迎指正。(这里的病毒不是我们一般意义上的病毒,而是侵害到手机用户的恶意APP。)逆向我们都知道,Android与其他的Java不同是运行在Dalvik虚拟机上的, 其编译过程如图所示,静态分析可以将apk反编译为S
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值