Posted on

分析警察叔叔的 Android 木马

1473735065399

原因

1473683134340

1473683729016

在看雪上看到了这个帖子,于是就下载到本地进行了分析。

调试

下载APK,放到了模拟器进行安装测试。

1473683431595

采用了海马玩模拟器进行APK 测试

1473683466254

APK会进行申请ROOT权限,然后打开什么都没有,只有一段文字Hello World,MFSocket!
竟然什么功能都没有,那进行下一步。

哈勃分析系统

1473683822127

发现有很多危险权限,而且调用了很多危险API。
开始进行反编译代码分析吧。

反编译分析

工具

  1. apktools
  2. dex2jar
  3. jd-gui

这三款工具怎么用就不说了,请自行百度。
采用 jd-gui 查看反编译回来的代码。

1473684565942

StartAdbDownloadReceiver.class

1473733116607
MFSocket.class

1473733231717

StartAdbDownloadReceiver类主要用于向本地写入文件流用的。
MFSocket 也有一段写入流到本地的代码

SmsMsg.class

1473733386942

SmsMsg 类用来获取手机的短信信息
content://sms 是Android查询短信数据库用的

来张截图注释

1473735065399

后续

本地保存的文件

1473735877965

此木马在上面说了,会获取所有的信息保存到本地的/data/data/应用包名/files 文件里
不知道警察叔叔安装这个app保存信息干什么,没有发现任何发送邮件和请求API的地方。
附上下载地址:
https://pan.baidu.com/s/1qYmyNHa 密码k3nr
欢迎大家一起分析来讨论。

0 thoughts on “分析警察叔叔的 Android 木马

  1. plus léger et plus puissant.Peux-tu nous donner des exemples de comparaison concrets ? Basé sur Chrome to Phone, qui est une valeur sÃe1Ã.D&#82r7;o»¹ tiens tu cette info ? À ma connaissance mightyText n’est pas opensource.

发表评论

电子邮件地址不会被公开。 必填项已用*标注