Androidframework窃取用户隐私病毒分析
2016-11-28 10:46
211 查看
一. 恶意行为
1.病毒启动后申请root权限,hook系统服务进程,影响用户设备正常关机;2.接收广播,私自进行拍照并上传至服务器等行为;
3.窃取用户短信,联系人,地理等信息并上传;
4.拦截短信并上传至服务器。
二. 流程图
三. 详细分析
1.软件自身dex分析软件运行后启动服务com.phone.CService,调用hide()方法隐藏图标,
申请root权限
注册大量广播接收器:
PictureAgainReceiver用于接收广播picture.again调用SelfCamera2类的TakePicture()方法进行拍照:
MySurfaceView类用于预览照片,完成时图片存放于以下路径:
初始化生成及加载文件
文件注入完成后开始hook系统服务
设置将要hook的进程及方法名等信息传入hook()方法
被hook的系统进程及注入文件
根据传送来的参数hook
startCheck判断各个文件是否注入并调用成功
各个子包行为
子包\res\raw\libhookjava5.so加载子包\res\raw\ksremote.jar
子包\res\raw\ksremote.jar
注册广播接收器bindSdBroadReceiver
创建广播接收器SmsReceiver_old;
拦截短信
Tmp方法通过广播将数据发送
软件自身dex通过广播接收器接收并上传至指定服务器
通过文件ip_config读取服务器地址
获取用户通话记录
获取联系人信息
获取手机网络浏览历史
RSDServerImpl_old类
通过此广播接收器接收对应广播进行关机,重启,获取短信,获取通讯录等操作:
调用com.sd.hk.impl.RSDServerImpl类的hkShutdownMethod
com.sd.hk.impl.RSDServerImpl的初始化
Init方法通过调用子包\res\raw\libMUMtdown.so中的is方法,判断进程是否系统进程,进而访问不同的端口,从网络端获取数据
调用Jnicommon类
子包\res\raw\libH1Ck.so hook了系统的reboot方法,从而控制设备正常关机
子包\res\raw\libMUMtdown.so中的对应方法
通过修改Android属性进行拦截修改其关机或重启操作
四. 溯源信息
根据其上传信息的服务器ip,我们对其进行定位,发现其地理位置位于成都市:五. 清除方案
system/lib/libyyzutils5.sosystem/lib/lib8S5ec.so
system/lib/lib9WJutils.so
system/lib/libH1Ck.so
system/lib/libIZTkpackage.so
system/lib/libMUMtdown.so
system/lib/libOYBkprovider.so
system/lib/lib3HKkradio.so
system/lib/lib6HZkjava.so
六. 查杀截图
相关文章推荐
- 【Android病毒分析报告】 - ZooTiger “集恶意推广、隐私窃取、恶意吸费于一体”
- 【Android病毒分析报告】 - ZooTiger “集恶意推广、隐私窃取、恶意吸费于一体”
- 【Android病毒分析报告】 - ZooTiger “集恶意推广、隐私窃取、恶意吸费于一体”
- 手机短信窃取病毒详细分析 - 利用邮箱SMTP发送服务偷偷发送用户短信内容
- android framework 输入事件分析
- android framework 层服务 分析
- Android Framework 分析
- “四不像”病毒冒充多款知名软件 窃取电脑隐私
- Android Framework 分析
- android button light 流程分析(三) — framework
- 抛砖引玉 之 谁动了我的隐私(android用户隐私窥探)
- android froyo framework内RIL.java类分析
- 一个简短的android病毒分析
- 短息接收--android短彩信的接收流程深入分析(framework)
- Android病毒分析-常见的敏感点
- android framework Service分析
- Android Framework 分析
- 360“窥探器”窃取的只是QQ.EXE的用户隐私
- 研究:Android有设计缺陷 可窃取用户数据
- Android Framework 目录分析