admin管理员组文章数量:1567556
2023年12月13日发(作者:)
Android木马Gapp分析报告
Android木马Gapp分析报告
安天实验室
文档信息
作者
背景介绍
版权说明
安天实验室
发布日期
2012/02/09
本报告是对Android木马Gapp的分析。
本文版权属于安天实验室所有。本着开放共同进步的原则,允许以非商业用途使用自由转载。转载时需注明文章版权、出处及链接,并保证文章完整性。以商业用途使用本文的,请联系安天实验室另做授权。联系邮箱:resource@ 。
©安天实验室 版权所有 第1页 / 共11页 Android木马Gapp分析报告
Android木马Gapp分析报告
安天实验室
一、 样本特征
1.1 基本信息
病毒名称:Trojan/.a[rmt]
病毒类型:木马
样本MD5:FC4104C17C9DC33C9FDA3CE52EDA2AFE
样本CRC32:7D0AA8F1
样本长度:71743 字节
发现时间:2012年2月8日
1.2 特征描述
该样本对正常软件RAM优化管理器进行了恶意篡改,首次运行后,在后台会访问网址,获取用来下载其他程序的URL列表保存在本地。样本每隔一段时间将通过URL列表下载apk文件,每次下载一个,并伪造“系统更新”通知,骗取用户点击安装所下载的程序。样本每隔一段固定的时间会访问更新URL列表。
二、 样本分析
2.1 静态分析
该样本在正常软件上进行了捆绑操作,如下图所示,所有的恶意代码都集中在包中。
©安天实验室 版权所有 第2页 / 共11页
Android木马Gapp分析报告
®
图 1 捆绑操作
2.1.1 分析
敏感权限
E_BOOT_COMPLETED 允许程序自启动
恶意模块
接收器:.A
服务:ServicesFrameworkService
2.1.2 接收器.A分析
该接收器监听系统启动的intent,当系统启动并且检测到sd卡时,开启服务ServicesFrameworkService。代码如下:
图 2 接收器代码
©安天实验室 版权所有 第3页 / 共11页
Android木马Gapp分析报告
2.1.3 服务ServicesFrameworkService分析
该服务开启后,每隔一段时间,会启动线程B、C、D,动态注册一个接收器,用于监听屏幕解锁和开锁的intent。代码如下:
图 3 服务代码
2.1.4 线程C(路径为com/google/process/gapp/even/C)分析
该线程从文件中将加密的URL字串取出进行“异或”操作,形成明文URL字串。代码如下:
图 4 线程C的代码
中的加密字串: `||x2''
版权声明:本文标题:Android木马Gapp分析报告 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dianzi/1702458175a7963.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论