本文介紹基于Android的手機惡意軟件,是一個基礎性的介紹,給新入門的人提供一個分析和工具指引。要分析的木馬是一個2013年的syssecApp.apk,這個木馬的分析能對Android惡意軟件有個大概了解。
基礎:
1 –Android應用基礎
Android是google開發基于Linux內核的開源的手機操作系統,應用程序使用JAVA語言編寫并轉換成了Dalvik虛擬機,而虛擬機則提供了一個抽象的真實硬件,只要和操作系統的API符合程序都可以在其上運行。應用則需要Linux的用戶和組來執行,所以目前所有的惡意軟件都需要獲得權限。
Android應用的格式是APK,是一種包含AndroidManifest.xml的 ZIP文件,媒體類文件實際代碼是classes.dex和一些其他的可選文件。XML提供Android系統的重要信息,比如用啟動應用程序時需要什么權限,只有這個文件中列出的權限才提供給該應用,否則返回失敗或空結果。classes.dex是Android應用程序實現的邏輯部分,是一個編譯代碼可由Dalvik虛擬機執行,打包成jar,從而節約移動設備上的一些空間。
2 –分析工具
2.1Dexter
Dexter可以將Android應用上傳做分析,提供了包和應用元數據的介紹。包的依賴關系圖顯示了所有包的關系,可以快速打開列表顯示所有的class和功能。
2.2Anubis
Anubis也是一個WEB服務,應用在沙箱里運行,每個樣品相互獨立,來分析文件和網絡的活動。同時也提供一些靜態分析,包括權限XML在調用過程中的變化。
2.3 APKInspector
Apkinspector提供了很多工具,APK加載后可以選擇標簽來執行其中的功能,帶有一個Java反編譯器JAD,能夠反編譯大多數類,但經常報錯。
2.4 Dex2Jar
可將dex 文件轉成 Java 類文件的工具,即使你是經驗豐富的逆向工程師,也可以考慮使用。
3 – 實例分析
3.1 Anubis
Anubis的顯著特點是,給出了應用所需權限的大名單:
截圖上包括了應用的部分權限。INTERNET權限是常見的游戲所需,用來在線統計跟蹤,開啟共享功能或者廣告。還有一些WAKE_LOCK、READ_PHONE_STATE用來讀取手機狀態,防止在游戲中鎖屏。但READ_CONTACTS、 READ_HISTORY_BOOKMARKS則看起來就很奇怪,不像是一個游戲該干的事情。對127.0.0.1:53471的連接看起來也很奇怪。分析鏈接:http://anubis.iseclab.org/?action=result&task_id=1a6d8d21d7b0c1a04edb2c7c3422be72f&format=html
3.2 Dexter
包的依賴關系圖顯示共有四個。可以忽視de.rub.syssec,它只包含空類的默認構造函數。
de.rub.syssec包括了一個叫做Amazed的游戲,比較特別的是amazedactiviy的onCreate方法,設置為每隔15秒重復鬧鐘。
第3個class包含的事件比較多。onBoot在啟動的時候就會進行鬧鈴,SmsReceiver和alarmReceiver則是真正的木馬,在任何一個短信到達的時候SmsReceiver會檢查里面是否包含有”bank”,如果是則使用abortBroadcast丟棄短信。
這意味著短信在手機上是看不到的。de.rub.syssec.neu有6個CLASS,最重要的一條是“Runner”,是實際的惡意代碼。“work”調用alarmReceiver來檢查設備是否連接互聯網。
如果在線,則調用“steal()”收集信息,添加到XML幫助的一個偽變量里。
根據API的調用列表,會收集信息:IMSI、SIM卡序列號、姓名、設備ID、用戶字典(自動補全)、聯系人、通話記錄、日歷、瀏覽器搜索記錄、瀏覽器收藏夾、發送和接收的短信、位置信息。
3.3 Emulator
Emulator證實這個APK確實有一個關于迷宮的游戲。但在輸出的日志里可以發現它其實做了很多事情,并試圖發送這些內容:
還有一些額外的信息包括安卓版本、IMEI、本地時間、steal()運行總量
3.3 分析用到的網站
http://anubis.iseclab.org/
http://dexter.dexlabs.org/
https://www.virustotal.com/
http://www.apk-analyzer.net/
http://www.visualthreat.com/
http://androidsandbox.net/reports.html
https://hackapp.com/
游戲不僅僅是個游戲,檢查你的游戲。