通过registerContentObserver(注册监听者)配合URI来实现恶意敏感信息窃取相关

监视以下URI:

联系人/通讯录类

  • 管理联系人的Uri:
    ContactsContract.Contacts.CONTENT_URI
  • 管理联系人的电话的Uri:
    ContactsContract.CommonDataKinds.Phone.CONTENT_URI
  • 管理联系人的Email的Uri:
    ContactsContract.CommonDataKinds.Email.CONTENT_URI

注:Contacts有两个表,分别是rawContact和Data,
rawContact记录了用户的id和name,
其中id栏名称为:ContactsContract.Contacts._ID, name名称栏为ContactContract.Contracts.DISPLAY_NAME,
电话信息表的外键id为ContactsContract.CommonDataKinds.Phone.CONTACT_ID,
电话号码栏名称为:ContactsContract.CommonDataKinds.Phone.NUMBER.
data表中Email地址栏名称为:
ContactsContract.CommonDataKinds.Email.DATA
其外键栏为:ContactsContract.CommonDataKinds.Email.CONTACT_ID

多媒体类:

  • 存储在sd卡上的音频文件:
    MediaStore.Audio.Media.EXTERNAL_CONTENT_URI
  • 存储在手机内部存储器上的音频文件:
    MediaStore.Audio.Media.INTERNAL_CONTENT_URI
  • SD卡上的图片文件内容:
    MediaStore.Audio.Images.EXTERNAL_CONTENT_URI
  • 手机内部存储器上的图片:
    MediaStore.Audio.Images.INTERNAL_CONTENT_URI
  • SD卡上的视频:
    MediaStore.Audio.Video.EXTERNAL_CONTENT_URI
  • 手机内部存储器上的视频:
    MediaStore.Audio.Video.INTERNAL_CONTENT_URI

注:图片的显示名栏:Media.DISPLAY_NAME,
图片的详细描述栏为:Media.DESCRIPTION
图片的保存位置:Media.DATA)

短信类

  • 短信URI:
    Content://sms
  • 发送箱中的短信URI:
    Content://sms/outbox
  • 收信箱中的短信URI:
    Content://sms/sent
  • 草稿中的短信URI:
    Content://sms/draft

Observer注册实现


context.getContentResolver().registerContentObserver(CONTENT_URI, true, new ObserverClass(context);
//CONTENT_URI 代表需要检测的URI
//true 表示模糊匹配(派生也可捕获)
//observer 具体的Observer实现类

实现相应的observer类就可以了,重写onChange()方法,当监听的URI发生变化时则会回调onChange()方法,恶意代码多在此方法中对变动的数据进行捕获,进而分析、修改、上传等等

你可能感兴趣的:(android)