Android恶意程序分析

某天收到的短信,看到内容吓死本宝宝了,以为什么私隐视频被曝光了 最后的url为下载apk文件,基本上这类就属于恶意程序无疑

1

 

把apk文件下载,反编译,先看看AndroidManifest.xml

1

大量高风险的权限

android.permission.RECEIVE_WAP_PUSH //接收WAP

android.permission.RECEIVE_BOOT_COMPLETED //开机自启动

android.permission.READ_CONTACTS //读取联系人信息

android.permission.READ_PHONE_STATE //读取手机状态和身份

android.permission.READ_SMS //读取短信

android.permission.WRITE_SETTINGS //修改全局系统设置

android.permission.RECEIVE_SMS //接收短信

android.permission.GET_TASKS //检查当前运行的程序

android.permission.WRITE_SMS //编辑短信

android.permission.SEND_SMS //发送短信

包名:com.SvADK8.s6lFYYB

入口:com.phone2.stop.activity.MainActivity

版本信息:Ver:5.5.365(98) SDK:8 TargetSDK:19

MD5-16: 8A2E380AF30DE783

CRC-16: 8C3C

SHA-1: 3D974F6E568B04723C5755655BC2F626A8CEA077

反编译后的目录结构

2

先从入口MainActivity开始看,获此设备信息

2

然后创建了保护进程,安装了就不给删啊哈哈

3

smsservice这也就拦截短信再发送之类了

6

创建了邮箱发送客户端

4

账号密码很明显,作者连加密都懒了

5

用的是阿里云的邮箱,登录上去瞧瞧,心疼那些中招的人,这邮箱还一直在接收着那些受害人的资料 邮箱的记录从7月4日开始,就已经接收到了92封邮件,中招的人绝对是不少了

5

通过邮箱的内容来看,前面的分析短信和联系人资料被窃取也是无误了

7

6

反查了下恶意程序下载域名的注册邮箱,1886条注册记录,记录太多也懒得继续了 范围广套路深,这仅仅冰山一角,有兴趣的接着继续挖掘

mewbot.com
apple4407@163.com


8


发表评论