分析警察叔叔的 Android 木马

1473735065399

原因

1473683134340

1473683729016

在看雪上看到了这个帖子,于是就下载到本地进行了分析。

调试

下载APK,放到了模拟器进行安装测试。

1473683431595

采用了海马玩模拟器进行APK 测试

1473683466254

APK会进行申请ROOT权限,然后打开什么都没有,只有一段文字Hello World,MFSocket!
竟然什么功能都没有,那进行下一步。

哈勃分析系统

1473683822127

发现有很多危险权限,而且调用了很多危险API。
开始进行反编译代码分析吧。

反编译分析

工具

  1. apktools
  2. dex2jar
  3. jd-gui

这三款工具怎么用就不说了,请自行百度。
采用 jd-gui 查看反编译回来的代码。

1473684565942

StartAdbDownloadReceiver.class

1473733116607
MFSocket.class

1473733231717

StartAdbDownloadReceiver类主要用于向本地写入文件流用的。
MFSocket 也有一段写入流到本地的代码

SmsMsg.class

1473733386942

SmsMsg 类用来获取手机的短信信息
content://sms 是Android查询短信数据库用的

来张截图注释

1473735065399

后续

本地保存的文件

1473735877965

此木马在上面说了,会获取所有的信息保存到本地的/data/data/应用包名/files 文件里
不知道警察叔叔安装这个app保存信息干什么,没有发现任何发送邮件和请求API的地方。
附上下载地址:
https://pan.baidu.com/s/1qYmyNHa 密码k3nr
欢迎大家一起分析来讨论。

评论 (1)
  1. 沙发
    Latasha 2017-01-04 05:43

    plus léger et plus puissant.Peux-tu nous donner des exemples de comparaison concrets ? Basé sur Chrome to Phone, qui est une valeur sÃe1Ã.D&#82r7;o»¹ tiens tu cette info ? À ma connaissance mightyText n’est pas opensource.