自我销毁木马分析报告

By | 2014年7月2日

Post by markseven

AVL移动团队最近发现了一种会卸载自己的间谍软件,还会尝试获取Root权限,以及监控通话录音、GPS地理位置信息、聊天软件、特定号码信息、邮箱记录等隐私信息。

样本分析

样本的基本信息

包名

com.android.system

应用程序名称

系统

动态分析

样本首次运行时,会显示用户设置的界面,类似远程控制应用的界面。配置完成后样本则自动隐藏。

功能分析

样本在运行时,会接受”暗号”手机发送的指令短信,并拦截该指令短信。从配置文件当中获取参数的配置信息,根据配置信息来执行相应的远程控制功能(打开/关闭 GPS ,打开/关闭GPRS ,删除安装目录文件,获取通讯录信息),并将获取的信息通过邮箱发送到用户设置的监控邮箱。

参数

功能

key_gps

开启GPS

key_openGRPS

开启移动数据

key_closeGRPS

关闭GPRS

key_delete

删除安装目录文件

key_getlist

获取通讯录信息

key_unstall

卸载自身

update

更新

样本尝试延时卸载自己。

程序还会监听用户使用主流IM(易信,微信,QQ,陌陌,YY)时的聊天记录。

在程序的getRuning2方法当中,会检测当前置顶的应用的Activity信息。

程序判断如果是主流要监控的应用,就会在后台进行截屏。

小结

该木马是一个功能齐全的远控指令木马,不仅能窃取各方面的隐私,还能尝试获取root权限,更可以卸载自身,此类行为无疑极大的降低了被安全软件发现的风险,而使用户手机面临更大的威胁。

用户可以使用AVL移动安全团队AVL Pro对此间谍应用进行查杀。

发表评论

电子邮件地址不会被公开。 必填项已用*标注