【Android病毒分析汇报】 - Chuli
【Android病毒分析报告】 - Chuli
本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.csdn.net/jiazhijun/article/details/8754908
https://www.securelist.com/en/blog/208194186/Android_*_Found_in_Targeted_Attack
本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.csdn.net/jiazhijun/article/details/8754908
作者:Jack_Jia 邮箱: 309zhijun@163.com
一、病毒样本基本信息
Md5:0b8806b38b52bebfe39ff585639e2ea2
Package:com.android.system
二、病毒代码分析
1、查看AndroidMainfest.xml文件
通过AndroidMainfest.xml文件可以看出,该样本共有启动方式如下:
(1)用户点击程序列表中该应用图标启动
(2)接收到屏幕开启、解锁、安装程序等系统广播后启动
2、代码分析流程
代码树结构如下:
经过对程序进入点的分析,恶意代码工作流程如下:
1、用户点击该程序图标后,启动.turntest主Activity, .turntest启动PhoneService服务组件。
ScreenReceiver接收到系统注册广报后,判断PhoneService是否启动,如果未启动,则启动PhoneService服务组件。
2、PhoneService服务在oncreate方法中启动AlarmService服务组件,并在onstart方法中注册Timer定时间隔启动AlarmService服务组件。
3、AlarmService完成了隐私窃取的主要工作。
在AlarmService
OnCreate方法中,读取用户设备及SIM卡联系人信息和设备通话记录,并通过com.google.system.receiver广播发送给sendReceiver组件, 注册位置监听器和新短信接收器alarmReceiver组件。 
当位置发生变化时,位置监听器把位置信息通过com.google.system.receiver广播发送给sendReceiver组件。
当新短信到来是,alarmReceiver把新短信内容通过com.google.system.receiver广播发送给sendReceiver组件
在AlarmService onStart方法中,获取所有短信记录,并通过广播发送给sendReceiver组件。
3、sendReceiver组件负责把隐私信息通过http协议发送到服务器
三、病毒恶意行为
该病毒能够窃取您的联系人、通话记录、短信记录和位置信息到控制服务器。
四、相关链接
https://www.securelist.com/en/blog/208194186/Android_*_Found_in_Targeted_Attack