标签:android style blog http java 使用
报告更新日期: 2013-10-14
样本发现日期: 2013-01-22
样本类型: Android
样本文件大小/被感染文件变化长度: 1.15 MB (1,209,713 字节)
样本文件MD5 校验值: 001769fd059d829a568b4196f07c6df9
壳信息:无
可能受到威胁的系统: Android OS
已知检测名称: Win32.Backdoor.Ginmaster.x
作者:willJ
简介
该样本为伪装成Android游戏盗取用户信息,病毒推广APP的木马。
详细分析/功能介绍
权限如下:
创建快捷方式 com.android.launcher.permission.INSTALL_SHORTCUT
获取有关当前或最近运行的任务信息 android.permission.GET_TASKS
获取粗略的位置(通过wifi 基站) android.permission.ACCESS_COARSE_LOCATION
读取wifi网络状态 android.permission.ACCESS_WIFI_STATE
读取系统日志 android.permission.READ_LOGS
显示系统窗口 android.permission.SYSTEM_ALERT_WINDOW
读取网络状态(2G或3G) android.permission.ACCESS_NETWORK_STATE
连接网络(2G或3G) android.permission.INTERNET
写外部存储器(如:SD卡) android.permission.WRITE_EXTERNAL_STORAGE
读取电话状态 android.permission.READ_PHONE_STATE
允许设备震动 android.permission.VIBRATE
相关服务器信息分析
入口:
1. 获取手机基本信息
获取已经安装的APP
获取手机IMEI
获取手机IMSI
获取系统LOG
获取IP地址
2. 下载推广APP
通过云端配置下载推广APP
3. 推送广告
4. 上传用户信息
5. 屏幕关闭启动服务
APP运行截图
对于简单的Android的样本分析可以使用APKtool与dex2jar进行反编译,基本可以看到类似java的源码,如果有些部分做了保护或者NDK编译,加载额so文件,那就得看arm汇编了,今天这个样本比较简单,如果有失误的地方还请多多指教。
201310-安卓收集用户信息样本分析-willj[4st TeAm],布布扣,bubuko.com
201310-安卓收集用户信息样本分析-willj[4st TeAm]
标签:android style blog http java 使用
原文地址:http://www.cnblogs.com/ReverseSec/p/3824808.html