蝗虫手机木马分析报告

作者:陈宏伟、张佳杰

 

一、主包分析

包名:com.example.xxshenqi

应用名:XX神器

MD5:5956C29CE2E17F49A71AC8526DD9CDE3

主要恶意行为:遍历联系人后群发短信,使恶意木马再次扩散传播;伪造钓鱼页面,诱骗用户注册填写个人信息,导致隐私泄露;安装恶意子包。

 

权限:

 image1

 

程序入口

image2

 

点击应用图标启动

 image3

 

遍历手机中的通讯录,获得联系人姓名及号码,并向这些号码发送内容为“【联系人】看这个http://cdn.yyupload.com/down/4279193/XXshenqi.apk”的短信。

 image4

 image5

image6 image7

 

短信发送完成后,向指定号码发送内容为“XXshenqi 群发链接OK”的短信。

 image8

image9

 

注册接收“android.intent.action.PACKAGE_ADDED”广播的receiver,用于检测子包是否安装。

 image10

 

检测子包是否已经安装,如果没有安装,则将子包apk从主包的assets目录中释放到/data/data/com.example.xxshenqi/files,以便下一步安装。

 image11

 

显示提示框,引导用户安装子包。

 image12

image13 image14

 

子包安装后会,系统会发出“android.intent.action.PACKAGE_ADDED”广播,这个广播会被之前注册的receiver接收到。

收到广播后,会启动已安装的子包,并向指定号码发送内容为“new Tro instanll Ok”的短信。

 image15 image16

 

进入程序的主界面

image17

 

登录页面的处理:

  1. 检查是否安装了子包,如果没有安装子包则弹框引导用户安装。
  2. 检查网络是否通畅,如果网络异常则提示用户检查网络。
  3. 密码大于等于6位会提示“正在验证,请稍候”,“密码或账号不存在!”
  4. 其他情况下提示“请输入正确的账号或密码”

账户永远不可能登录成功

 image18

 

点击注册功能,显示一个钓鱼页面,诱导用户输入个人信息。

image19

 

注册程序对用户输入的身份证号码做了一些简单的校验,例如:年份在1980至1996之间、月份的十位小于个位、日期在1至31之间、不符合条件的身份证号码不能通过验证。最后将获得个人信息(姓名和身份证号码)以短信形式发送至指定号码,并提示用户注册成功。

 image20

 

至此,主包功能结束

 

二、子包分析

包名:com.example.com.android.trogoogle

应用名:com.android.Trogoogle

MD5:b0dea6906329c47edbecd48adc15a996

主要恶意行为:启动后隐藏图标、通过短信指令控制,可实现窃取用户收到的短信信息、发送的短信信息、联系人信息、伪造和删除短信。

 

恶意子包在第一次启动后图标消失,之后的触发可以通过短信接收广播和开机自启广告启动,

通过开机自启动后,会直接进入SEND查询模式,随后进入RECV查询模式,当接受到短信时进入RECV查询模式。

 image21

 image22

 

SEND查询模式

进入SEND模式后直接将用户后续会发送的短信内容,通过短信的方式转发到指定号码。

 image23

 

RECV查询模式

进入RECV模式后,恶意子包接收短信指令,窃取用户短信信息,联系人信息,以及伪造短信。

image24

对中招手机发送sendlink命令,会将联系人信息通过邮件的方式转发到指定邮箱。

 image25

 

对中招手机发送readmessage命令,把手机中所有的短信通过邮件的方式转发到指定邮箱。

image26

 

通过邮件将联系人或短信发送到指定邮箱。

image27

 

对中招手机发送sendmessage命令,会将后续收到的短信通过短信的方式转发到指定号码。

 image28

会对非11位的发件号码做特殊处理,如果中招手机接收到的短信的发送号码不是11位,木马作者认为可能是淘宝信息,在转发短信的同时,特别注释为“特殊消息”

 image29

 

对中招手机发送makemessage命令,接受到指令后会伪造短信信息。

 image30

 

三、解决方案

目前,360手机卫士可对蝗虫木马进行精准查杀。

下载地址:http://shouji.360.cn