obad病毒整理汇总（最复杂精致的android病毒）

起源

该样本起源于一篇卡巴斯基实验室的报告 ¹，被誉为最复杂精致的android病毒。

特色

一、AndroidManifest使用很是规方法构造。

---

左为obad的AndroidManifest，右为普通的AndroidMainifest。

能够看出AndroidMainifest缺乏 android:name这样的标签 。这是一个之前不可知的Android小漏洞引发，解析时正常，但不添加这些标签生成apk则会失败。

二、类名高度混淆

---

三、字符串的使用均通过dexguard加密 ²

---

解密脚本以下：

strings  = [0x4C, 0xE,  2,  9,  - 7, 0x10,  - 54, 0x3E, 0x17,  - 9,  - 44, 0x4C, 0xA, ...]
c0, c1, c2  = (0x199, 0x3E,  - 8)
 
def decrypt(length, curChar, pos) :
  length  += c0
  curChar  += c1
  r  =  ''
   for i  in  range(length) :
    r  +=  chr(curChar  & 0xFF)
    curEncodedChar  = strings[pos]
    pos  +=  1
    curChar  = curChar  + curEncodedChar  + c2
   return r

解密后显示以下 ³：

四、Api方法调用均使用反射

五、利用一个当时未知的设备管理器漏洞获取不可卸载权限

---

诱导用户激活设备管理器，但以后不可取消。

 

漏洞原理 ⁴：

       首先咱们来看一下Settings app如何造成设备管理器列表的：

       相关类：

       packages\apps\settings\src\com\android\settings\DeviceAdminSettings.java


   public class DeviceAdminSettings extends ListFragment {
 
    DevicePolicyManager mDPM;
    final HashSet<ComponentName> mActiveAdmins = new HashSet<ComponentName>();
    final ArrayList<DeviceAdminInfo> mAvailableAdmins = new ArrayList<DeviceAdminInfo>();

    @Override
    public void onResume() {
        super.onResume();
        updateList();
    }

    void updateList() {
        mActiveAdmins.clear();
        List<ComponentName> cur = mDPM.getActiveAdmins();
        if (cur != null) {
            for (int i=0; i<cur.size(); i++) {
                mActiveAdmins.add(cur.get(i));
            }
        }

        mAvailableAdmins.clear();
        List<ResolveInfo> avail = getActivity().getPackageManager().queryBroadcastReceivers(
                new Intent(DeviceAdminReceiver.ACTION_DEVICE_ADMIN_ENABLED),
                PackageManager.GET_META_DATA);//经过查询广播”android.app.action.DEVICE_ADMIN_ENABLED“来获得可用的设                                                                                             //备管理器程序列表
        int count = avail == null ? 0 : avail.size();
        for (int i=0; i<count; i++) {
            ResolveInfo ri = avail.get(i);
            try {
                DeviceAdminInfo dpi = new DeviceAdminInfo(getActivity(), ri);
                if (dpi.isVisible() || mActiveAdmins.contains(dpi.getComponent())) {
                    mAvailableAdmins.add(dpi);
                }
                //若是应用已激活设备管理器&&注册了”android.app.action.DEVICE_ADMIN_ENABLED“就出如今可用设备管理器列表
            } catch (XmlPullParserException e) {
                Log.w(TAG, "Skipping " + ri.activityInfo, e);
            } catch (IOException e) {
                Log.w(TAG, "Skipping " + ri.activityInfo, e);
            }
        }
        
        getListView().setAdapter(new PolicyListAdapter());
    }

   .......
    
    class PolicyListAdapter extends BaseAdapter {
      .......

        public void bindView(View view, int position) {
            final Activity activity = getActivity();
            ViewHolder vh = (ViewHolder) view.getTag();
            DeviceAdminInfo item = mAvailableAdmins.get(position);//显示mAvailableAdmins中数据
            vh.icon.setImageDrawable(item.loadIcon(activity.getPackageManager()));
            vh.name.setText(item.loadLabel(activity.getPackageManager()));
            vh.checkbox.setChecked(mActiveAdmins.contains(item.getComponent()));
            try {
                vh.description.setText(item.loadDescription(activity.getPackageManager()));
            } catch (Resources.NotFoundException e) {
            }
        }
    }

}

由Android Settings App源代码能够看出，若是想在设备管理器列表中”隐身“，只要不注册”android.app.action.DEVICE_ADMIN_ENABLED“广播就行。

动态分析相关

检查网络连接

---

申请设备管理器权限

---

根据卡巴斯基的报告会接收服务器指令，但跑动态分析的时候没发现其接收指令，不知道是否如今已不起做用。

参考连接

---

一、 The most sophisticated Android Trojan

二、 A look inside Dexguard

三、 Android OBad decompiled sources

四、 Android设备管理器漏洞

其余：

腾讯手机管家： Android手机出现史上最强木马 感染后没法删除

360手机卫士： “史上最强Android木马”现身？360手机安全专家全面剖析

来自为知笔记(Wiz)