社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
发帖 回复
« 返回列表
  • 1345阅读
  • 6回复

[分享]对七夕“超级病毒”XX神器的逆向分析

 楼层直达
z3960 
级别: 茶馆馆主
发帖
770867
飞翔币
207694
威望
215657
飞扬币
2511641
信誉值
8
只看楼主 更多操作 0 发表于: 2021-08-11
七夕的安卓手机xx神器超级病毒大家应该都在新闻上看到了吧吾爱也有这篇文章的http://www.52pojie.cn/thread-281082-1-1.html话不多说,开始分析<img id="aimg_313887" aid="313887" src="https://attach.52pojie.cn/forum/201408/06/065843heoxjekmzzioodko.jpg" zoomfile="https://attach.52pojie.cn/forum/201408/06/065843heoxjekmzzioodko.jpg" file="https://attach.52pojie.cn/forum/201408/06/065843heoxjekmzzioodko.jpg" class="zoom" width="440" inpost="1" "="" lazyloaded="true" height="403" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">
首先给各位无良媒体记者跪了。七夕那天刚从公司拿到样本的时候还以为是主管随便到网上扒了个木马demo给我练手,第二天看新闻才知道这小玩具已经搞得满城风雨,媒体竟然称它为“超级手机病毒”(-_-#)不得不感叹混安全圈想装逼简直太容易了。在此强烈谴责这种夸张报道,不仅向公众传递错误信息,也会影响孩子的价值观。短短今天说这个apk没有任何研究价值,虽然技术是非常拙劣,但是其利用短信不会审核恶意链接的性质传播的方式倒是令人眼前一亮。
下面就来瞧瞧这个“XX神器”的真面目
从恶意链接上下载到“XXshenqi.apk”,考虑到是恶意应用,先不急着安装,反编译一下看看这到底是个什么玩意。
直接拖进APKIDE,查看AndroidManifest.xml:
<img id="aimg_313895" aid="313895" src="https://attach.52pojie.cn/forum/201408/06/070108dv11v2lv3vlq3732.png" zoomfile="https://attach.52pojie.cn/forum/201408/06/070108dv11v2lv3vlq3732.png" file="https://attach.52pojie.cn/forum/201408/06/070108dv11v2lv3vlq3732.png" class="zoom" width="718" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">

乍一看,似乎除了声明了发送短信和读取联系人的权限比较可疑,没其他什么特点。组件部分也只有Activity,没有Service,没有BroadcastReceiver,并不具备木马特征。观察到主Activity是WelcomeActivity,那就先进这个Activity看看在搞什么名堂。
这个木马并没有做代码混淆,直接反编译WelcomeActivity就能看到Java源代码,首先看到的东西很令人惊讶:
<img id="aimg_313896" aid="313896" src="https://attach.52pojie.cn/forum/201408/06/070134pljbjy77a5db7dg7.png" zoomfile="https://attach.52pojie.cn/forum/201408/06/070134pljbjy77a5db7dg7.png" file="https://attach.52pojie.cn/forum/201408/06/070134pljbjy77a5db7dg7.png" class="zoom" width="720" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">

不需要仔细看就知道是在群发短信,但是真正让人惊讶的是这段代码里居然藏了一个手机号(っ °Д °;)っ把自己的ID藏在病毒里的事情中已经见怪不怪了,这种赤裸裸暴露自己手机号的还是第一次见(;¬_¬)别急,下面还有更卧槽的。
<img id="aimg_313897" aid="313897" src="https://attach.52pojie.cn/forum/201408/06/070159q13yo46zws4s44cn.png" zoomfile="https://attach.52pojie.cn/forum/201408/06/070159q13yo46zws4s44cn.png" file="https://attach.52pojie.cn/forum/201408/06/070159q13yo46zws4s44cn.png" class="zoom" width="707" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">

这一句话就是木马传播的核心,获取通讯录并向联系人发送包含该木马下载链接的短信。通常在QQ或者邮件里发送恶意链接的话都会被检查,而现在的短信却不具备检查内容的安全机制,这是该木马最大的亮点。
WelcomeActivity开启群发短信的进程后,继续启动MainActivity,在MainActivity里找到三个if语句:
<img id="aimg_313898" aid="313898" src="https://attach.52pojie.cn/forum/201408/06/070222h4bq44v0qq0wqmdd.png" zoomfile="https://attach.52pojie.cn/forum/201408/06/070222h4bq44v0qq0wqmdd.png" file="https://attach.52pojie.cn/forum/201408/06/070222h4bq44v0qq0wqmdd.png" class="zoom" width="720" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">

不难看出,这就是登陆按钮的事件处理,三个if语句以各种理由拒绝用户登陆,这样做的原因就只有一个,这个所谓的登录窗口是假的,这个“XX神器”根本没有任何功能,当然没办法让人登陆了。
那MainActivty的主要目的是干什么呢?找到retrieveApkFromAssets方法:
<img id="aimg_313899" aid="313899" src="https://attach.52pojie.cn/forum/201408/06/070255xl4cnlkr9timjmm6.png" zoomfile="https://attach.52pojie.cn/forum/201408/06/070255xl4cnlkr9timjmm6.png" file="https://attach.52pojie.cn/forum/201408/06/070255xl4cnlkr9timjmm6.png" class="zoom" width="659" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">

可以看到,该方法从assets文件夹里释放了一个文件。那就赶紧到assets文件夹下找到这个文件吧ヽ(`Д′)ノ
<img id="aimg_313900" aid="313900" src="https://attach.52pojie.cn/forum/201408/06/070329xxf8f4j93k3jffxk.png" zoomfile="https://attach.52pojie.cn/forum/201408/06/070329xxf8f4j93k3jffxk.png" file="https://attach.52pojie.cn/forum/201408/06/070329xxf8f4j93k3jffxk.png" class="zoom" width="207" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">

居然声称自己的包名前缀是com.android (;¬_¬)
反编译这个apk,打开AndroidManifest.xml,看看到底在搞什么名堂:
<img id="aimg_313901" aid="313901" src="https://attach.52pojie.cn/forum/201408/06/070426tvkvfdwg1qvhh6vd.png" zoomfile="https://attach.52pojie.cn/forum/201408/06/070426tvkvfdwg1qvhh6vd.png" file="https://attach.52pojie.cn/forum/201408/06/070426tvkvfdwg1qvhh6vd.png" class="zoom" width="720" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">

看到这些基本上什么都懂了,“XXshenqi.apk”其实是个外壳,其真正目的是释放隐藏在assets文件夹下的com.android.Trogoogle.apk,这才是木马本体。
查看smali目录,发现有如下几个包:
<img id="aimg_313902" aid="313902" src="https://attach.52pojie.cn/forum/201408/06/070448samzili18olil7za.png" zoomfile="https://attach.52pojie.cn/forum/201408/06/070448samzili18olil7za.png" file="https://attach.52pojie.cn/forum/201408/06/070448samzili18olil7za.png" class="zoom" width="155" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">

简略看了看源码,其他几个包跟com包杂乱无章的代码风格不一样,应该是作者找的开源包,只有com包才是木马功能真正的实现部分,所以只需要把精力放在这个包上就可以了。
查看com包的源码,首先注意到的是BroadcastAutoBoot,这是个接收开机事件的BroadcastReceiver:
<img id="aimg_313903" aid="313903" src="https://attach.52pojie.cn/forum/201408/06/070511ipgfepz8gghh7xpj.png" zoomfile="https://attach.52pojie.cn/forum/201408/06/070511ipgfepz8gghh7xpj.png" file="https://attach.52pojie.cn/forum/201408/06/070511ipgfepz8gghh7xpj.png" class="zoom" width="463" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">

可以看到收到开机事件后,启动了ListenMessageService,这是木马常用的开机自启方式。
跟进ListenMessageService看看,注意到以下两个方法:private String ReadAllMessage(Context paramContext):private void ReadCONTACTS(Context paramContext, String paramString)
在ReadAllMessage中找到下面这一行:
<img id="aimg_313904" aid="313904" src="https://attach.52pojie.cn/forum/201408/06/070601p8t6c2xcxrjcux4w.png" zoomfile="https://attach.52pojie.cn/forum/201408/06/070601p8t6c2xcxrjcux4w.png" file="https://attach.52pojie.cn/forum/201408/06/070601p8t6c2xcxrjcux4w.png" class="zoom" width="715" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">

在ReadCONTACTS中找到下面一行:



不难判断出ReadAllMessage的目的是读取所有短信,ReadCONTACTS则是读取通话记录。
继续往下看,跟踪onStart(),看看服务启动后做了哪些事情,注意下面这一行是关键:ListenMessageService.this.getContentResolver().registerContentObserver(Uri.parse("content://sms"), true, new ListenMessageService.SmsObserver(ListenMessageService.this, new ListenMessageService.SmsHandler(ListenMessageService.this, ListenMessageService.this)));
ListenMessageService启动后注册了一个ContentObserver监视短信数据库,处理Handler为ListenMessageService.SmsHandler,继续跟进实现处理Uri改变的onChange()方法,发现下面关键行:
<img id="aimg_313905" aid="313905" src="https://attach.52pojie.cn/forum/201408/06/070637ulfuc56ypjfkufyy.png" zoomfile="https://attach.52pojie.cn/forum/201408/06/070637ulfuc56ypjfkufyy.png" file="https://attach.52pojie.cn/forum/201408/06/070637ulfuc56ypjfkufyy.png" class="zoom" width="697" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">

木马通过监视短信收件箱,当手机收到短信时将其截获,并且发送到181****7397这个号码。
继续看:
<img id="aimg_313906" aid="313906" src="https://attach.52pojie.cn/forum/201408/06/070706br9pppzoo4gqp05w.png" zoomfile="https://attach.52pojie.cn/forum/201408/06/070706br9pppzoo4gqp05w.png" file="https://attach.52pojie.cn/forum/201408/06/070706br9pppzoo4gqp05w.png" class="zoom" width="469" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">

木马特别留意了186****9904这个号码的短信,将其视为命令消息,继续往下找到处理逻辑:
<img id="aimg_313907" aid="313907" src="https://attach.52pojie.cn/forum/201408/06/070743a44bbhnlzn4b11n5.png" zoomfile="https://attach.52pojie.cn/forum/201408/06/070743a44bbhnlzn4b11n5.png" file="https://attach.52pojie.cn/forum/201408/06/070743a44bbhnlzn4b11n5.png" class="zoom" width="720" inpost="1" "="" lazyloaded="true" _load="1" style="overflow-wrap: break-word; cursor: pointer; max-width: 100%;">

该短信共有5个操作命令:readmessage:发送邮件命令,启动MySendEmailService,将收件箱和发件箱的短信以邮件形式发送sendmessage:发送短信命令,能控制该手机发送任意短信到任意号码test:测试命令,将“【数据库截获】TEST数据截获(广播失效)”以短信发送至186****9904makemessage:伪造任意地址、任意内容的短信‍‍sendlink:读取联系人信息,以邮件方式发送
在此明晰了该木马的大体架构,该木马利用指定号码发送短信,控制肉鸡将隐私信息以邮件形式发送到自己的邮箱。
一个有趣的细节是,木马作者将自己的QQ邮箱和密码全部暴露在了代码里(;¬_¬),拿到密码后,兴冲冲地去登陆这个邮箱,却发现密码已经被改了,估计是被前辈们抢先了吧。
有关这个木马的关键点就讲到这儿,有兴趣的朋友可以自己找样本分析,代码没做混淆,肉眼就能看懂。虽然木马使用的技术很小儿科,但是能其利用短信广泛传播的特点令人深思,余弦前辈说:很多时候,工程化能力远比单点技术研究重要多了
本主题包含附件,请 登录 后查看, 或者 注册 成为会员
关键词: 手机 下载 报道 安全 安卓
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
回复 引用
举报
任逍遥 
级别: 超级版主
发帖
834292
飞翔币
226658
威望
224648
飞扬币
2446424
信誉值
0
只看该作者 1 发表于: 2021-08-11
来看一下
回复 引用
举报
任逍遥 
级别: 超级版主
发帖
834292
飞翔币
226658
威望
224648
飞扬币
2446424
信誉值
0
只看该作者 2 发表于: 2021-08-11
不错,了解了
回复 引用
举报
srwam 
级别: 超级版主
发帖
634630
飞翔币
48
威望
25247
飞扬币
2860301
信誉值
0
只看该作者 3 发表于: 2021-08-11
来看看
回复 引用
举报
srwam 
级别: 超级版主
发帖
634630
飞翔币
48
威望
25247
飞扬币
2860301
信誉值
0
只看该作者 4 发表于: 2021-08-11
要注意了
回复 引用
举报
ddwg0818
级别: 终身优会
发帖
293987
飞翔币
28
威望
3993
飞扬币
3362
信誉值
0
只看该作者 5 发表于: 2021-08-11
支持楼主,在飞扬我很看好你!
回复 引用
举报
ddwg0818
级别: 终身优会
发帖
293987
飞翔币
28
威望
3993
飞扬币
3362
信誉值
0
只看该作者 6 发表于: 2021-08-11
路过瞧瞧,支持大佬
回复 引用
举报
发帖 回复
« 返回列表