Android鎖屏勒索病毒分析(2)免流伺服器
1.樣本概況
1.1 基本資訊
樣本名稱:
免流伺服器.
所屬家族:
鎖屏勒索病毒(a.rogue.SimpleLocker.a)
MD5值:
2efca46f34a565c2ef4052b89b6b364b
包名:
zs.ip.proxy
入口:
MainActivity
最低執行環境:
Android2.2X
敏感許可權:
獲取Root許可權
讀取、寫入、修改SD卡
安裝和解除安裝應用程式
1.2測試環境及工具
•AndroidStudio
•AndroidKiller
•JEB
•夜神模擬器
2.行為分析
2.1 主要行為
獲取Root許可權
傳送惡意簡訊
鎖屏勒索
2.1.1惡意程式對使用者造成的危害(圖)
鎖屏,如下圖
2.1.2惡意程式在Androidmanifest.xml中註冊的惡意元件
獲取的許可權
註冊的元件
2.2惡意程式碼分析
首先進入入口類MainActivity,發現程式在獲取手機Root許可權,且拷貝另一個app到 /system/app/目錄下,並安裝執行。因此我們下一步要用Android Killer檢視/storage/sdcard0/stk3.apk。
在資原始檔夾中找到stk3.apk 並用Android Killer開啟
提示有3個關鍵許可權:
允許程式顯示系統警報視窗,可能會導致鎖屏
允許程式開機啟動
允許程式傳送簡訊
進入入口類MainActivity中,發現其呼叫了com.android.stk3. llxfc
com.android.stk3.llxfc中,
傳送惡意簡訊,如下圖
建立全域性浮動視窗,設定密碼框,鎖屏
2.3加固分析
沒有加固
3.解決方案(或總結)
3.1提取病毒的特徵,利用防毒軟體查殺
免流伺服器 特徵碼字串:
/storage/sdcard0/stk3.apk
\u6838\u5FC3\u6587\u4EF6\u5B89\u88C5\u9519\u8BEF\uFF01\u8BF7\u786E\u8BA4\u624B\u673A\u662F\u5426\u5DF2\u7ECFroot\uFF01 //核心檔案安裝錯誤!請確認手機是否已經root!
stk3.apk特徵碼字串:
手機號碼:"18277506826"
"\u60f3\u5fc5\u4e00\u5b9a\u662f\u4eba\u6e23\u4e2d\u7684\u6781\u54c1\uff0c\u79bd\u517d\u4e2d\u7684\u79bd\u517d.\u770b\u770b\u554a\uff0c\u4f60\u8fd9\u5c0f\u8138\u7626\u5f97\uff0c\u90fd\u6ca1\u4e2a\u732a\u6837\u5566\uff01"
3.2 手工查殺步驟
通過對於關鍵程式碼的分析,找到以下解決方案
首先,找到鎖屏密碼,輸入後解除鎖屏
然後 用adb連線到手機
1.刪除/system/app/stk3.apk
2.刪除/storage/sdcard0/stk3.apk
3.重啟然後解除安裝免流伺服器
用到的命令:
adb shell
[email protected]:/ # cd system/app
[email protected]:/system/app # rm stk3.apk
[email protected]:/ # cd sdcard
[email protected]:/sdcard # rm stk3.apk