一个简单的监控木马分析

Posted 2020-08-05 Bingghost

很老的一个样本,简单的分析下练手

样本地址:

链接：http://pan.baidu.com/s/1hrEO212 密码：j2ul

一.样本概述

样本主要行为:

该样本主要是窃取目标用户的短信,联系人,手机相关信息的App程序

程序安装后伪装成移动客户端

运行后需要激活设备管理器,防止被设备管理器删除

二.详细分析流程

1. 程序启动

2. 激活设备管理器

在低版本android系统(小于4.0.3)激活设备管理器后会导致App通过设备管理无法删除

2. 解密配置信息

通过des解密后写配置信息

key为staker

还原后代码如下:

会生成一个明文的配置文件:

该程序的主要功能就是配置文件的所描述的信息

3.发送软件安装成功的短信到远程手机号

发送短信内容:

"软件安装完毕\\n识别码:868331018161094\\n型号:HUAWEI U9508 \\n手机:Huawei \\n系统版本:4.1.1" 至 13482173247 发送短信内容 "62147483647" 

至 13482173247

4. 启动的邮件任务会发送用户的敏感信息到指定邮箱

用户的敏感信息包括:

        短信

        联系人

发送的目标邮箱就是上面解密的邮箱

遍历所有短信:

获取所有联系人

发送所有短信息到指定邮箱

发送联系人

5.   设置情景模式为静音

4.1版本以及以后已弃用setVibrateSetting

6. 开机启动后立即启动服务

7. 当收到的短信是自己的号码,则操作配置信息和相关的数据库操作

短信操作和之前的操作类似

数据库相关信息如下(这是他自己建的一个数据库):

创建数据库

CREATE  TABLE IF NOT EXISTS intercept_person( 

        \\\'id\\\' INTEGER PRIMARY KEY AUTOINCREMENT, 

        \\\'modified_time\\\' DATETIME DEFAULT (null), 

        \\\'created_time\\\' DATETIME, 

        \\\'number\\\' VARCHAR(40), 

        \\\'name\\\' VARCHAR(40))" 

数据库路径:

/data/data/com.phone.stop/databases/phone_database  

病毒分析的一般流程:

1. 使用行为监控软件进行大致行为监控

        文件操作

        网络操作

        数据库

        .....

        针对不同平台的特点有针对性的进行监控

和Android相关的一些行为监控工具

zjdriod

droidbox   https://github.com/pjlantz/droidbox

Inspeckage  基于xpose

在线文件监控网站

火眼(金山)

https://fireeye.ijinshan.com/

哈勃(腾讯)

https://habo.qq.com

文件B超(瀚海源,阿里巴巴)

https://b-chao.com/

VirusBook

https://www.virusbook.cn/

joesandbox

病毒在线扫描网站

http://www.virustotal.com/

http://virscan.org/

http://onlinelinkscan.com/

2.动静态结合对样本分析

    根据上面的监控流程,有针对性的对病毒样本进行分析

 

    主要确定样本的危害性

    最终给出查杀方案

 

       

来自为知笔记(Wiz)