[Android病毒分析]锁屏病毒之百变气泡
锁屏病毒之百变气泡
一、样本概况
1.1 样本分析
文件名称:百变气泡
文件类型:application/jar
样本包名:Aaron.tencent.kou
样本大小:287KB
MD5:e7c653a4195cd36f27933b4ef1fe8328
SHA1:126B25E8E9EA5C7CFD3EDDC4C500D69BB9CBD821
病毒行为:获取root权限,锁住手机屏幕。
1.2 测试环境及工具
测试环境:夜神模拟器 V_3.8.3.1
工具:Jeb、AndroidKiller
1.3 分析目标
1、病毒运行的具体方式
2、查杀病毒
二、具体行为分析
将样本文件安装到夜神模拟器中,双击运行文件,点击开启百变气泡,出现超级用户请求的界面。点允许后模拟器进行重启。
重新启动之后,出现如下界面,无论点击返回键还是主页键都无法退出主页面。
将APK文件拖到AndroidKiller中,等待反编译结束,发现该应用程序获取了如下权限。
| 权限 | 含义 |
|---|---|
| android.permission.SYSTEM_ALERT_WINDOW | 掌控手机屏幕 |
| android.permission.RECEIVE_BOOT_COMPLETED | 允许应用程序开机自启 |
| android.permission.READ_PHONE_STATE | 获取手机号码,通讯时对方手机号码 |
| android.permission.BROADCAST_STICKY | 发送置顶广播 |
| android.permission.GET_TASKS | 检索当前运行的应用程序 |
打开Jeb,分析入口函数可见。重写了onClick,根据函数名称可以得知,这个方法最终执行了一系列的命令。
| 命令 | 含义 |
|---|---|
| mount -o rw,remount /system | 以可读写的方式加载/system分区。 |
| cp /data/app/Aaron.tencent.kou-1.apk /system/app/ | 将文件拷贝到system/app目录下 |
| cp /data/app/Aaron.tencent.kou-2.apk /system/app/ | 将文件拷贝到system/app目录下 |
| chmod 644 /system/app/Aaron.tencent.kou-1.apk | 修改文件属性 |
| chmod 644 /system/app/Aaron.tencent.kou-2.apk | 修改文件属性 |
| rm /data/app/Aaron.tencent.kou-1.apk\n | 删除文件 |
| rm /data/app/Aaron.tencent.kou-2.apk\n | 删除文件 |
| rm -r /data/app/ | 删除目录 |
| reboot | 重启 |
最初在分析的时候以为该apk文件释放出了一个文件,因此在data/app目录中会有两个文件,但当进入system/app目录中查看的时候只有一个Aaron.tencent.kou-1.apk文件,查找资料的值,data/app存储apk文件时会在后面加上-1或者-2的字符,因此在不确定的情况下同时写两个对文件操作的命令更为妥当。
当重启之后,出现新的界面,对新界面的onCreate函数进行分析,可以找到密码的加密方法。
首先获取到手机的序列号IMEI。只获取下标为[3, 10)范围内的数字。
然后采用AES加密。将获取到的序列号作为明文,以”koukou”为秘钥进行加密。
最终与输入进行对比。相等则解锁。
三、查杀方法以及解决方法。
1、提取病毒特征,利用杀毒软件进行查杀。
(1)MD5:e7c653a4195cd36f27933b4ef1fe8328
(2)提取关键字符串:\u5bc7\u5bc7\u5236\u4f5c\uff0c\u5fc5\u5c5e\u7cbe\u54c1
2、解决方法
(1)通过加密算法算出密码。密码:F86187CE626CDDFD4B582D7EF073714B
但这种方法,并没有将病毒清除,在每次开机之后都要输入。
(2)首先使用adb remount命令获取读写权限,进入到system/app目录中,修改文件属性:chmod 777 Aaron.tencent.kou-1.apk,然后删除文件rm Aaron.tencent.kou-1.apk。这只是删除了系统目录下的病毒文件,还有清理data/data下的一个目录,该目录存储着app相关配置数据等信息。同样是先修改权限,然后使用命令:rm -r 目录文件,删除指定文件目录。