首页 > 代码库 > 201310-安卓收集用户信息样本分析-willj[4st TeAm]

201310-安卓收集用户信息样本分析-willj[4st TeAm]

报告更新日期: 2013-10-14

样本发现日期: 2013-01-22

样本类型: Android

样本文件大小/被感染文件变化长度: 1.15 MB (1,209,713 字节)

样本文件MD5 校验值: 001769fd059d829a568b4196f07c6df9

壳信息:无

可能受到威胁的系统: Android OS

已知检测名称: Win32.Backdoor.Ginmaster.x

作者:willJ

简介

该样本为伪装成Android游戏盗取用户信息,病毒推广APP的木马。

详细分析/功能介绍

权限如下:

创建快捷方式 com.android.launcher.permission.INSTALL_SHORTCUT

获取有关当前或最近运行的任务信息 android.permission.GET_TASKS

获取粗略的位置(通过wifi 基站) android.permission.ACCESS_COARSE_LOCATION

读取wifi网络状态 android.permission.ACCESS_WIFI_STATE

读取系统日志 android.permission.READ_LOGS

显示系统窗口 android.permission.SYSTEM_ALERT_WINDOW

读取网络状态(2G或3G) android.permission.ACCESS_NETWORK_STATE

连接网络(2G或3G) android.permission.INTERNET

写外部存储器(如:SD卡) android.permission.WRITE_EXTERNAL_STORAGE

读取电话状态 android.permission.READ_PHONE_STATE

允许设备震动 android.permission.VIBRATE

相关服务器信息分析

入口:

clip_image001[1]

1. 获取手机基本信息

获取已经安装的APP

clip_image002[1]

获取手机IMEI

clip_image004[1]

获取手机IMSI

clip_image006[1]

获取系统LOG

clip_image008[1]

获取IP地址

clip_image010[1]

2. 下载推广APP

通过云端配置下载推广APP

clip_image012[1]

3. 推送广告

clip_image014[1]

4. 上传用户信息

clip_image016[1]

5. 屏幕关闭启动服务

clip_image017[1]

APP运行截图

clip_image018[1]

对于简单的Android的样本分析可以使用APKtool与dex2jar进行反编译,基本可以看到类似java的源码,如果有些部分做了保护或者NDK编译,加载额so文件,那就得看arm汇编了,今天这个样本比较简单,如果有失误的地方还请多多指教。