一、主包分析
包名:com.example.xxshenqi
应用名:XX神器
MD5:5956C29CE2E17F49A71AC8526DD9CDE3
主要恶意行为:遍历联系人后群发短信,使恶意木马再次扩散传播;伪造钓鱼页面,诱骗用户注册填写个人信息,导致隐私泄露;安装恶意子包。
权限:
程序入口
点击应用图标启动
遍历手机中的通讯录,获得联系人姓名及号码,并向这些号码发送内容为“【联系人】看这个http://cdn.yyupload.com/down/4279193/XXshenqi.apk”的短信。
短信发送完成后,向指定号码发送内容为“XXshenqi 群发链接OK”的短信。
注册接收“android.intent.action.PACKAGE_ADDED”广播的receiver,用于检测子包是否安装。
检测子包是否已经安装,如果没有安装,则将子包apk从主包的assets目录中释放到/data/data/com.example.xxshenqi/files,以便下一步安装。
显示提示框,引导用户安装子包。
子包安装后会,系统会发出“android.intent.action.PACKAGE_ADDED”广播,这个广播会被之前注册的receiver接收到。
收到广播后,会启动已安装的子包,并向指定号码发送内容为“new Tro instanll Ok”的短信。
进入程序的主界面
登录页面的处理:
- 检查是否安装了子包,如果没有安装子包则弹框引导用户安装。
- 检查网络是否通畅,如果网络异常则提示用户检查网络。
- 密码大于等于6位会提示“正在验证,请稍候”,“密码或账号不存在!”
- 其他情况下提示“请输入正确的账号或密码”
账户永远不可能登录成功!
点击注册功能,显示一个钓鱼页面,诱导用户输入个人信息。
注册程序对用户输入的身份证号码做了一些简单的校验,例如:年份在1980至1996之间、月份的十位小于个位、日期在1至31之间、不符合条件的身份证号码不能通过验证。最后将获得个人信息(姓名和身份证号码)以短信形式发送至指定号码,并提示用户注册成功。
至此,主包功能结束
二、子包分析
包名:com.example.com.android.trogoogle
应用名:com.android.Trogoogle
MD5:b0dea6906329c47edbecd48adc15a996
主要恶意行为:启动后隐藏图标、通过短信指令控制,可实现窃取用户收到的短信信息、发送的短信信息、联系人信息、伪造和删除短信。
恶意子包在第一次启动后图标消失,之后的触发可以通过短信接收广播和开机自启广告启动,
通过开机自启动后,会直接进入SEND查询模式,随后进入RECV查询模式,当接受到短信时进入RECV查询模式。
SEND查询模式
进入SEND模式后直接将用户后续会发送的短信内容,通过短信的方式转发到指定号码。
RECV查询模式
进入RECV模式后,恶意子包接收短信指令,窃取用户短信信息,联系人信息,以及伪造短信。
对中招手机发送sendlink命令,会将联系人信息通过邮件的方式转发到指定邮箱。
对中招手机发送readmessage命令,把手机中所有的短信通过邮件的方式转发到指定邮箱。
通过邮件将联系人或短信发送到指定邮箱。
对中招手机发送sendmessage命令,会将后续收到的短信通过短信的方式转发到指定号码。
会对非11位的发件号码做特殊处理,如果中招手机接收到的短信的发送号码不是11位,木马作者认为可能是淘宝信息,在转发短信的同时,特别注释为“特殊消息”
对中招手机发送makemessage命令,接受到指令后会伪造短信信息。
三、解决方案
目前,360手机卫士可对蝗虫木马进行精准查杀。
下载地址:http://shouji.360.cn