【Android病毒分析报告】 - Chuli

本文章由Jack_Jia编写，转载请注明出处。   
文章链接： http://blog.csdn.net/jiazhijun/article/details/8754908

作者：Jack_Jia    邮箱： [email protected]

一、病毒样本基本信息

       Md5:0b8806b38b52bebfe39ff585639e2ea2

       Package:com.android.system

二、病毒代码分析

         1、查看AndroidMainfest.xml文件

             通过AndroidMainfest.xml文件可以看出，该样本共有启动方式如下：

                  （1）用户点击程序列表中该应用图标启动

                  （2）接收到屏幕开启、解锁、安装程序等系统广播后启动

         2、代码分析流程

             代码树结构如下：

                       

              经过对程序进入点的分析，恶意代码工作流程如下：

              1、用户点击该程序图标后，启动.turntest主Activity, .turntest启动PhoneService服务组件。

                    ScreenReceiver接收到系统注册广报后，判断PhoneService是否启动，如果未启动，则启动PhoneService服务组件。

                            

                  2、PhoneService服务在oncreate方法中启动AlarmService服务组件，并在onstart方法中注册Timer定时间隔启动 AlarmService服务组件。

              

             3、AlarmService完成了隐私窃取的主要工作。

                在AlarmService OnCreate方法中，读取用户设备及SIM卡联系人信息和设备通话记录，并通过com.google.system.receiver广播发送给sendReceiver组件， 注册位置监听器和新短信接收器alarmReceiver组件。               

       

     当位置发生变化时，位置监听器把位置信息通过com.google.system.receiver广播发送给sendReceiver组件。

         

    当新短信到来是，alarmReceiver把新短信内容通过com.google.system.receiver广播发送给sendReceiver组件

     在AlarmService onStart方法中，获取所有短信记录，并通过广播发送给sendReceiver组件。

             4、sendReceiver组件负责把隐私信息通过http协议发送到服务器

            

三、病毒恶意行为

       该病毒能够窃取您的联系人、通话记录、短信记录和位置信息到控制服务器。

四、相关链接

        https://www.securelist.com/en/blog/208194186/Android_Trojan_Found_in_Targeted_Attack