Android恶意软件分析

最新推荐文章于 2023-01-16 18:38:15 发布
最新推荐文章于 2023-01-16 18:38:15 发布 · 892 阅读 · 4
文章标签:

#移动开发 #java #运维

本文详细解读了Android恶意软件DroidKungFu2-A的工作原理,包括其行为分析、代码分析以及如何获取敏感信息。通过静态分析和动态分析,揭示了恶意软件如何在后台运行,收集IMEI号码、手机型号、Android版本等信息,并尝试越狱设备以下载更多恶意软件。

研究报告《Dissecting Andro Malware》2011年的作品,在tobe的鼓励下,把他读完了,说不上一对一的翻译,把主要的大意摘录如下:

先说说恶意软件分析:

恶意软件分析其实是一个拆解它的过程,学习它的代码结构,操作,功能。通常以以下几点为目标:

理解漏洞如何被利用,系统受攻击的原因。

研究攻击的严重性以及防御措施

渗透到受攻击的数据,以便调查它的来源,获得更多其他受攻击机器的信息

取证调查员和系统工程师,通常利用逆向工程技术分析恶意软件,分析恶意软件的工作流程,执行了的操作,功能。由此来理解恶意软件对受害机器的文件,服务,代码和变量做了哪些增加或修改。这个分析通常有两种方法静态分析和动态分析,又叫行为分析和代码分析。

关于这个报告:

这个项目(指这篇报告)的目的就是理解Android恶意软件是如何工作的。这个项目会涉及到以下几个主要步骤:

创建独立的虚拟环境

静态分析

动态分析

总结每个分析的的发现和漏洞情况,编写统计结果报告

提出修复措施

这个项目还是一个逆向工程的参考材料,针对恶意软件用到的工具,方法论的一个参考。

转入正题:

静态分析,又称行为分析,通常分析和研究恶意软件的行为,研究恶意软件与所在环境如何交互,如何增加服务,篡改文件,截取数据,网络连接方式,端口打开情况等。把收集到的数据重新整合和映射到一起,以便进行全局的分析。

报告具体内容:

动态分析,又称为代码分析,也就是对恶意软件的代码进行分析,但是通常要对恶意软件的代码进行分析是非常困难,特别是要分析的通常是以编译过的二进制代码。所以需要反编译它为汇编代码,通过代码分析,逆向工程师从中提取内嵌的实际恶意代码。

恶意软件分析工具

实验环境工具--Virtual Box,VMware,Sandbox GFI

静态分析--Process Monitor,Wireshark,PEiD,TCPView,WinHex,Process Explorer,Winanalysis,Strings

动态分析--Ollydbg,IDA Pro,Dex2jar,JD-GUI,Baksmali,Apktool

恶意代码分析的目标终极目标当然是找出如何防范恶意软件的攻击了。这样就得回答两个问题,一个是,系统是怎样被攻击的,第二是恶意软件利用什么漏洞进行攻击。

(此处省略android系统架构性描述,android市场,android市场安全检测,一些目前已发现漏洞病毒,如CVExxx,都是些千篇一律的描述,没有翻译了。有兴趣的可以看原文,或者找对应的中文材料学习)

(此处在再次省略有关几个分析工具的简单介绍,包括VirtualBox的安装运行,android模拟器Emulator,反编译工具Apktool,监控工具wireshark,其他Dex2Jar,JD-GUI,这些都是必备工具,想必也不是靠一个报告三言两语说得清楚,具体用法个人觉得可以参考其他中文材料)

分析实例:

动态分析DroidKungFu2-A

首先,用7-zip解压恶意apk文件“droida.apk”,查看如下图所示:

包括了Android Manifest xml文件,classes.dex文件。恶意软件作者通常把自己的代码插入到原始代码中,以减少被怀疑的风险。他们修改了Android Manifest文件和其他apk中的文件后,用他们自己的key重新编译。下图显示了分析中发现修改过的Android Manifest文件。

当运行程序的时候,就会激活名为android.intent.action.MAIN的活动,而该获得会伴随激活com.enguan.state.Dialog活动,这个活动会触发两个服务,分别为com.eguan.state.StateService和com.eguan.state.Receiver。(<action
android:name=”android.intent.action.MAIN” />就是apk最先启动的东西了。)为了弄清楚这些活动,就需要反编译apk文件了。这里就要用到Apktool工具了。下图显示使用Apktool进行反编译

反编译后如下图所示包含有Android Mainifest文件和dex文件。

通过分析文件中包含StateService的activity的代码,我们发现这段代码启动了一个名为com.eguan.state.StateService的服务。它创建了一个intent object的实例,创建了一个com.eguan.state.StateService类的对象,把这个对象传给constructor之后通过其启动了名为startService的服务。然而要更深入的分析就必须分析Java代码了。于是就利用Dex2Jar工具,把Dalvik可执行文件.dex转换为Java的.class文件。命令如下图所示:

转换后,把生成的jar文件导入JD-GUI工具中,就可以列出所有的包和它对应的java文件了从中查找启动服务的对应代码:

Intent intent = new Intent (this, com.eguan.state.StateService.class);
startService (intent);

由此com.eguan.state.Dialog Activity退出后,但是com.
eguan.state.StateService服务仍然在后台运行,最初的activity在已经在设备上运行,但是用户并没有察觉到可以的activity在后台运行。一旦该服务启动,恶意软件就在后台收集窃取信息,包括IMEI号码,手机模式,Android版本等,如下图所示:StateService的java代码分析

UpdateInfo()函数负责把收集以上信息,利用StringBuilder函数写入到本地的/data/data如下图所示:

这些数据随后会发送到一个远程的服务器上。利用wireshark抓包分析可看到源地址10.0.2.15(手机)发生到目标服务器58.63.244.72,如下所示:

通过分析抓包文件,如下图所示:





对以下经过URL加密的请求解码
o r r e t a i n s f

http://gw.youmi.net/reqad?aid=dd598637f9461413&da={%22w%22%3A320%2C%22dd%22%3A%22HTC%20Magic%22%2C%22dv%22%3A%22smc_voda_wwe%22%2C%22ts%22%3A%220%22%2C%22sv%22%3A%221.1%22%2C%22po%22%3A%22android%201.5%22%2C%22cid%22%3A%22162fbcbb180446ef5573b679baad3f30%22%2C%22h%22%3A480}&out=0&rt=2010-05-29%2012%3A25%3A31&src=3&ver=1.0&sig=ERMdekHHiUYznbRN%2BK5MJ49Oyvw%3D
可发现

包括了mobile model名称“HTC MAGIC”Android的版本1.5,IMEI号码,和其他参数。

漏洞利用代码分析

当activity运行的时候,Service就会启动,从而加载create()函数的代码,如下图所示:

而该函数里面有一个getPermission()的方法,检查是否有root访问权限。通过检查su是否在设备上安装来实现。如下图所示。

通过checkPermission检查设备是否已经越狱。

如果没有,就尝试访问一个叫secbino的本地文件,并从asset 目录复制漏洞利用代码,并改变其访问权限,如下图代码所示:

成功后就会执行漏洞利用代码,由oldrun函数负责执行越狱操作。如下图所示:

当越狱成功后,就可在用户不知情情况下下载更多的恶意软件了,并进行安装,删除等操作。

静态分析:

首先是通过virutotal.com多引擎杀毒网站扫描,显示53%的杀毒引擎都报告有毒。

之后,通过adb命令把该apk应用往android模拟器–AVD(Android Virtual Device)安装。命令如下图所示:

安装成功后,运行该程序。原始的activity会载入com.al len.txthej包,同时内嵌了恶意代码com.eguan.state包,运行效果如下图所示:

恶意activity,com.state.eguan.Dialog在后台运行,这时它还不需要root访问权限,而原始的com.allen.txthej activity也是启动起来的。如下图所示,原始服务和恶意activity同时运行:

由于程序是运行在Android SDK环境中,该环境没有提供root访问权限,因此不运行SDK被越狱,所以当程序尝试去root权限访问时就会抛出异常

(此处个人觉得原文的静态分析这部分也简单了一点…很多前面提到的静态分析工具,Process Monitor,Wireshark,PEiD,TCPView,WinHex,Process Explorer,Winanalysis,Strings都没看到发挥用场。另外也有个疑问,对于那张同时看到原始服务和恶意activity同时运行的图是怎么看到的,直接看设置无需借助工具?还是用了什么工具呢?)

分析总结:

DroidKungFu-2A这个恶意软件,会截取IMEI号码,手机模块名称,SDK版本,然后存储到一个本地文件,随后通过HTTP GET请求的方式把信息使用URL加密发送到远程服务器。恶意软件还会检查设备是否已经被越狱,如果没有就会尝试访问SU,并改变其权限,成功后就会下载更多的恶意软件包,实现远程安装和卸载程序包,修改浏览器主页等。

建议:

从可信源下载应用

在程序安装的时候,检查其许可要求

操作系统和软件都要更新到最新版本,安装必要的安全补丁

下载安装一个杀毒引擎并保持更新

检查正在浏览的网站,通过AD/Script拦截器保护免受恶意代码侵害

禁止自动运行特性,经常备份系统

启用防火墙

下载应用时,检查一下他的评分和评价情况

不要通过没有密码或不经过加密的wifi热点上网浏览敏感数据

警惕是否的警告,是否系统中出现了不正常的行为。

最后,本文需要用到的基础知识包括Android中activity的概念,Intent的概念,Android Manifest xml文件结构等等知识,所以这里所翻译的只是冰山一角,真正只能是抛砖引玉。而且后来找资料才发现原来这篇原文,多次出现在入门必看的list中,连诸葛博士也推荐了一把。建议还是看原文的好。

iteye_17686
关注
安卓恶意程序分析
运维记录
02-16 926
背景:某同事收到一条短信,内容大概为我们聚会的照片我上传到了http://t.cn/RGfj0LP,请查看。该同事使用的是华为安卓手机,点击后自动给通讯录中的所有人都转发了相同内容的短信,由于同事之间互相信任的关系,多个同事都中招了。出于个人兴趣,针对这条短信进行了一下简单的分析:1、直接通过浏览器访问http://t.cn/RGfj0LP时,页面会被转到360的一个提示页面,URL为:http:/
Android Malware and Analysis (android恶意软件分析)
03-07
Android Malware and Analysis (android恶意软件分析),最新版的安卓系统hacking技术 学习安卓系统级黑客必备!强烈推荐!
Android恶意软件样本分析工具APKinspector免费版
08-06
APKinspector是一款强大的工具,可以帮助分析人员手动分析Android恶意软件样本,GUI部分使用了PyQT。 APKinspector的主要特点如下: (1) Graph-based UI displaying control flow of the code. (2) Links from graph view to source view. (3) Function/Obj
android恶意程序分析 (三)
04-03
NULL 博文链接:https://wcf1987.iteye.com/blog/1480507
恶意软件分析---Android设备管理器
La0sj的博客
03-26 912
参考此篇文章https://blog.youkuaiyun.com/etzmico/article/details/6848061,本文旨在记录在恶意代码分析时在遇到申请设备管理器类型恶意软件时需要着重注意的代码位置,以及几个关键的回调函数的调用时机。 AM文件中必须有如下声明: &lt;receiver android:name=".deviceAdminReceiver" android:labe...
Android恶意软件特征及分类
Code Writers
01-16 1014
针对Android恶意软件,除了熟知的木马、病毒,还有勒索软件(ransomware)、广告(adware)和间谍软件(spyware)。要研究Android恶意软件,首先需要知道,软件的哪些行为算是“恶意”,什么样的软件叫“恶意软件”。
Android-Malware-Analysis_2013:2013 年进行了 Android 恶意软件分析分析了 30 个 Android 恶意软件。 #Dynamic 分析 #CodeReview #LogCat #NetworkTraffic #IP-lookup #Data Compromised
06-21
在本项目"Android-Malware-Analysis_2013"中,研究者对2013年出现的30个Android恶意软件样本进行了深入分析,涵盖了动态分析、代码审查、LogCat日志检查、网络流量监控、IP查找以及数据泄露等多个关键环节。...
Skygofree Android恶意软件分析.pdf
09-21
Android恶意软件分析通常遵循一个既定流程,首先是动态分析,这涉及在运行环境中监控软件的行为,以了解其敏感操作和大致功能。在这个阶段,研究人员会使用Android模拟器安装如Xposed框架,配合Droidmon工具来...
Android-Droidefense:高级的Android恶意软件分析框架
08-12
**Android-Droidefense: 高级的Android恶意软件分析框架** 在移动安全领域,尤其是在Android平台上,恶意软件分析是至关重要的。Android-Droidefence是一个专门为Android恶意软件设计的高级分析框架,它旨在帮助...
引擎:Droidefense:先进的Android恶意软件分析框架
02-06
先进的Android恶意软件分析框架 最新发布的 什么是Droidefense Droidefense(原名原子:一个nalysis吨hroughöbservation米achine)*的Android应用/恶意软件分析/反转工具的代号。 它的构建侧重于安全问题和恶意...
android恶意程序分析 (一)
ice
03-29 772
  决定了毕设做android安全方向的相关内容,那么每天一篇android恶意软件分析是少不了。今天就是第一篇 首先介绍个网站 http://contagiominidump.blogspot.com/ 非常好的一个网站,主要是他隔三差五的会放出个android恶意软件,我的分析就是基于他给出的apk文件。 注意要FQ       android.dds.com-STiNiTER...
ANDROID MALWARE
05-25
This book is based on our years-long research conducted to systematically analyze emerging Android malware. Some of our earlier research results and findings were reported in an IEEE conference paper entitled Dissecting Android Malware: Characterization and Evolution, which was presented at the IEEE Symposium on Security and Privacy (often mentioned as Oakland conference in the security community) in May, 2012 [77]. During and after the conference, we were pleased to receive and hear inquiries from colleagues with encouraging comments on the systematization of knowledge work that has been conducted in our conference paper. Partially because of that, we are motivated to expand our work and hope such efforts will be of service to the security and privacy community. Further, as part of that, we have released corresponding malware dataset for our study under the name Android Malware Genome Projectto the community. With that, we want to take this opportunity to thank our collaborators, Dongyan Xu, Peng Ning, Xinyuan Wang, Shihong Zou, and others, whose valuable insights and comments greatly enriched our work. The authors are also grateful to colleagues in the Cyber Defense Lab at NC State University, especially Tyler Bletsch, Zhi Wang, Michael Grace, Deepa Srinivasan, Minh Q. Tran, Chiachih Wu, Wu Zhou, and Kunal Patel. Special thanks also go to Susan Lagerstrom-Fife and our publisher for their great help and patience! This research was supported in part by the US National Science Foundation (NSF) under Grants 0855297, 0855036, 0910767, and 0952640. Any opinions, findings, and conclusions or recommendations expressed in this material are those of the authors and should not be interpreted as necessarily representing the official policies or endorsements, either expressed or implied, for the NSF. 1 Introduction ........................................ 1 2 A Survey of Android Malware........................... 3 2.1 Malware Dataset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.2 Malware Characterization . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2.1 Malware Installation . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2.2 Activation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.2.3 Malicious Payloads . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.2.4 Permission Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3 Case Studies ........................................ 21 3.1 Malware I: Plankton . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.1.1 Phoning Home . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.1.2 Dynamic Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.2 Malware II: DroidKungFu . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3.2.1 Root Exploits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.2.2 Command and Control (C&C) Servers . . . . . . . . . . . . . 24 3.2.3 Payloads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.2.4 Obfuscation, JNI, and Others . . . . . . . . . . . . . . . . . . . . 26 3.3 Malware III: AnserverBot. . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.3.1 Anti-Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.3.2 Command and Control (C&C) Servers . . . . . . . . . . . . . 28 4 Discussion.......................................... 31 5 Additional Reading................................... 33 5.1 Books . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 5.1.1 Malware Detection and Defense . . . . . . . . . . . . . . . . . . 33 5.1.2 Smartphone (Apps) Security. . . . . . . . . . . . . . . . . . . . . 34 5.2 Conference and Workshop Proceedings . . . . . . . . . . . . . . . . . . 34 ix 6 Summary........................................... 37 References............................................ 39 Index ................................................ 43
android 恶意应用,对恶意Android应用Bangle Android App Packer的分析
weixin_27028301的博客
05-27 268
原标题:对恶意Android应用Bangle Android App Packer的分析写在前面的话近日Trustlook Labs发现了一个恶意安卓应用程序,它使用社会工程手法诱骗用户安装。这个应用程序(MD5:eb9d394c1277372f01e36168a8587016)使用Bangle packer打包。触发该安装应用程序的主要活动为“com.goplaycn.googleinstall...
一枚Android恶意锁屏程序分析
Beautiful Attack and Defence
07-14 1744
一枚Android恶意锁屏程序分析【文章标题】:一枚Android恶意锁屏程序分析 【文章作者】: Ericky 【作者博客】: http://blog.youkuaiyun.com/hk9259 【下载地址】: 由于恶意程序,不提供下载 【保护方式】: 无 【作者声明】: 本人水平有限,若有不足错误之处请指正0x1软件界面: 0x2分析反编译APK后得到APK类文件目录如下: 进入LockA
android 行为分析,Android软件恶意行为分析:窃用户资料最常见
weixin_39605706的博客
05-27 750
腾讯科技讯 5月20日消息,由于Android平台具有极大的开放性,给手机厂商以及应用开发者带来很大便利的同时,也必定会导致Android安全性降低。Android平台没有类似Symbian平台的第三方签名认证机制,加之Android平台还不够成熟,使得在Android应用中嵌入恶意代码更为容易。安全管家恶意软件监测中心监测到的数据显示,目前,Android软件的主要恶意行为有:恶意扣费或消耗套餐...
2017年Android恶意软件专题报告
omnispace的博客
03-24 6626
摘    要2017年全年,360互联网安全中心累计截获Android平台新增恶意软件样本757.3万个,平均每天新增2.1万。全年相比2016年(1403.3万)下降46.0%,从2015年来看,新增恶意软件呈现总体下降趋势。2017全年,从手机用户感染恶意软件情况看,360互联网安全中心累计监测到Android用户感染恶意软件2.14亿,相比2016年2.53亿人次下降15.4%,平均每天恶意...
Android恶意代码分析流程,【技术分享】Android恶意软件分析
weixin_39865061的博客
05-25 977
预估稿费:200RMB(不服你也来投稿啊!)投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿目的这个练习涵盖了技术分析Android恶意软件通过使用一个定制的恶意软件样本在Android设备上运行时,将会reverse shell给一个攻击者。我们将通过使用静态和动态分析技术分析完整功能应用程序。虚拟机使用:Santoku Linux VM工具:AVD Manager, ADB...
动态分析 Android 程序—动态分析框架/工具
Andy0214的专栏
12-24 8327
- 动态分析分为动态跟踪和动态调试; - 动态跟踪侧重于自动化分析,工具一般是自主研发或第三方提供的分析平台。在软件开发领域编写大型项目安全检测分析报告,以及在软件安全领域进行恶意代码与病毒的分析时,会广泛用到动态分析技术; - 动态调试需要分析人员参与进来,依靠调试器的能力完成分析工作。在进行动态调试时,除了调试器,还要分析人员自主确定分析点; - 开发软件时,一般可进行源码级调试,对设置断点的地方可通过阅读源码找到。逆向分析时,通常只能进行反汇编级别的调试,分析人员要通过阅读大量的反汇编代码来寻找
Android恶意软件检测技术研究进展分析
接下来,论文论述了现有Android恶意软件分析与判定技术。技术主要包括权限分析动态分析和静态分析。 权限分析是基于应用程序请求权限与实际行为之间的差异进行判断。Android系统要求应用程序在安装时声明所需权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值