[Android病毒分析]鎖屏病毒之百變氣泡
鎖屏病毒之百變氣泡
一、樣本概況
1.1 樣本分析
檔名稱:百變氣泡
檔案型別:application/jar
樣本包名:Aaron.tencent.kou
樣本大小:287KB
MD5:e7c653a4195cd36f27933b4ef1fe8328
SHA1:126B25E8E9EA5C7CFD3EDDC4C500D69BB9CBD821
病毒行為:獲取root許可權,鎖住手機螢幕。
1.2 測試環境及工具
測試環境:夜神模擬器 V_3.8.3.1
工具:Jeb、AndroidKiller
1.3 分析目標
1、病毒執行的具體方式
2、查殺病毒
二、具體行為分析
將樣本檔案安裝到夜神模擬器中,雙擊執行檔案,點選開啟百變氣泡,出現超級使用者請求的介面。點允許後模擬器進行重啟。
重新啟動之後,出現如下介面,無論點選返回鍵還是主頁鍵都無法退出主頁面。
將APK檔案拖到AndroidKiller中,等待反編譯結束,發現該應用程式獲取瞭如下許可權。
| 許可權 | 含義 |
|---|---|
| android.permission.SYSTEM_ALERT_WINDOW | 掌控手機螢幕 |
| android.permission.RECEIVE_BOOT_COMPLETED | 允許應用程式開機自啟 |
| android.permission.READ_PHONE_STATE | 獲取手機號碼,通訊時對方手機號碼 |
| android.permission.BROADCAST_STICKY | 傳送置頂廣播 |
| android.permission.GET_TASKS | 檢索當前執行的應用程式 |
開啟Jeb,分析入口函式可見。重寫了onClick,根據函式名稱可以得知,這個方法最終執行了一系列的命令。
| 命令 | 含義 |
|---|---|
| mount -o rw,remount /system | 以可讀寫的方式載入/system分割槽。 |
| cp /data/app/Aaron.tencent.kou-1.apk /system/app/ | 將檔案拷貝到system/app目錄下 |
| cp /data/app/Aaron.tencent.kou-2.apk /system/app/ | 將檔案拷貝到system/app目錄下 |
| chmod 644 /system/app/Aaron.tencent.kou-1.apk | 修改檔案屬性 |
| chmod 644 /system/app/Aaron.tencent.kou-2.apk | 修改檔案屬性 |
| rm /data/app/Aaron.tencent.kou-1.apk\n | 刪除檔案 |
| rm /data/app/Aaron.tencent.kou-2.apk\n | 刪除檔案 |
| rm -r /data/app/ | 刪除目錄 |
| reboot | 重啟 |
最初在分析的時候以為該apk檔案釋放出了一個檔案,因此在data/app目錄中會有兩個檔案,但當進入system/app目錄中檢視的時候只有一個Aaron.tencent.kou-1.apk檔案,查詢資料的值,data/app儲存apk檔案時會在後面加上-1或者-2的字元,因此在不確定的情況下同時寫兩個對檔案操作的命令更為妥當。
當重啟之後,出現新的介面,對新介面的onCreate函式進行分析,可以找到密碼的加密方法。
首先獲取到手機的序列號IMEI。只獲取下標為[3, 10)範圍內的數字。
然後採用AES加密。將獲取到的序列號作為明文,以”koukou”為祕鑰進行加密。
最終與輸入進行對比。相等則解鎖。
三、查殺方法以及解決方法。
1、提取病毒特徵,利用防毒軟體進行查殺。
(1)MD5:e7c653a4195cd36f27933b4ef1fe8328
(2)提取關鍵字串:\u5bc7\u5bc7\u5236\u4f5c\uff0c\u5fc5\u5c5e\u7cbe\u54c1
2、解決方法
(1)通過加密演算法算出密碼。密碼:F86187CE626CDDFD4B582D7EF073714B
但這種方法,並沒有將病毒清除,在每次開機之後都要輸入。
(2)首先使用adb remount命令獲取讀寫許可權,進入到system/app目錄中,修改檔案屬性:chmod 777 Aaron.tencent.kou-1.apk,然後刪除檔案rm Aaron.tencent.kou-1.apk。這只是刪除了系統目錄下的病毒檔案,還有清理data/data下的一個目錄,該目錄儲存著app相關配置資料等資訊。同樣是先修改許可權,然後使用命令:rm -r 目錄檔案,刪除指定檔案目錄。