一个携带恶意ELF的样本分析

 1.样本的主要行为
  • 样本启动后会向系统目录下面释放一个被加密的ELF文件,母包会联网下载广告图片,推送弹框广告;
  • SK文件检测模拟器和虚拟机环境,干扰沙箱检测apk文件;
  • 释放的ELF文件会获取系统权限,破坏卸载其他root工具的正常使用,导致恶意的ELF文件无法被删除;
  • ELF文件同时会从远端获取指令,静默下载安装其他其他恶意子包,且安装的系统目录下面导致无法卸载;
  • 恶意子包进一步获取从远端获取指令静默下载安装其他恶意子包; 恶意子包的行为静默安装卸载,获取用户安装的文件信息并上传到远端服务器;
  • 同时恶意的ELF文件会获取用户手机类的杀软信息伪造杀软更新或者系统更新,进而更近一步诱导用户去点击安装已经下载的应用;

 2.病毒行为流程图
  • 整个母包子包和恶意ELF行为流程如下

一个携带恶意ELF的样本分析_第1张图片

你可能感兴趣的:(Android样本分,移动安全)