“XXshenqi”安卓短信蠕虫分析报告

点评:最早接触安卓安全其实是从安卓木马病毒逆向分析开始的,这是自己刚入门时写的一篇报告,算是比较简单的样本。

周末闲着蛋疼,花半小时分析了下前两天很火的被媒体炒成”超级手机病毒”的XXshenqi.apk的样本,分享下,其实挺简单的一个安卓短信蠕虫病毒~

1.基本信息

文件名称    XXshenqi.

MD5    5956c29ce2e17f49a71ac8526dd9cde3

文件包名    com.example.xxshenqi

版本    1.0

类型    安卓短信蠕虫病毒

分析工具   

2.木马简介

  该蠕虫于上周五(8月1号)开始大量传播(分析后发现最早上传时间为7月28日上午11:53分),引起国内各大媒体广泛关注,被称为”超级手机病毒“,用户中招后会自动向通讯录内所有联系人发送如下短信:“[联系人姓名]看这个,http://cdn.yyupload.com/down/4279193/XXshenqi.apk”,病毒作者已于8.2日被深圳警方抓获。

3.详细分析

先从应用入口MainActivity的 onCreate()方法入手:

6608743281608523795

病毒先访问了asset资源目录下的com.android.Trogoogle.apk文件,然后执行showinstallConfirmDialog方法

6619423937560377967

弹出提示,诱导用户安装com.android.Trogoogle.apk

4943826491046361886

安装完成后启动该APK,并向手机号18163657397发送提示

6619570172606873839

最后向所有联系人发送短信,诱导更多用户下载安装

6619550381397573650

继续分析后来安装的com.android.Trogoogle.apk,先是将隐藏APP图标,然后启动了ListenMessageService服务,用于监听用户短信

4943826491046361920

获取用户收件箱所有短信

6619517396048739643

如果发件人为:18670259904,则视为病毒作者的远程命令短信,根据指令内容执行不同操作,如发送所有短信到作者邮箱,伪造短信等等

6619284299583651500

作者使用qq邮箱发送和接收窃取的短信,同时暴露了自己的个人信息

6599314969401658497

执行短信命令结束后还会删除收件箱中的命令短信以免引起怀疑

4.总结

    此病毒从技术上来看是一个十分简单甚至是让人觉得简陋的安卓短信蠕虫病毒,没有代码混淆与加密,没有复杂的逻辑与功能,之所以能够造成如此大的影响还是那条“[联系人姓名]看这个http://cdn.yyupload.com/down/4279193/XXshenqi.apk”的短信,普通用户在收到有自己的名字短信时会降低警惕,可能会因为好奇去访问其中的链接甚至是下载安装,就算了1000个用户中有1人安装了此病毒应用,病毒会不断向其亲朋好友发送同样的信息,中招人数最终会呈指数级上升。

 5.后续

    社工了下作者信息,发现是一名目前就读于中南大学的大学生的作品,湖南邵阳人,在CSDN和51CTO还能找到一些有关安卓开发方面的提问,估计是暑假闲着蛋疼想写个蠕虫来练手,当然也可能是做黑产的,还有八卦说是为了七夕监视女友短信,昨天已经传出新闻被抓了,看来还是那句话:no zuo no die~

转载自:http://nickycc.lofter.com/post/23e2a6_1923e6a

2 thoughts on ““XXshenqi”安卓短信蠕虫分析报告

Comments are closed.