Android6.0攔截馬分析

Android6.0攔截馬分析

嚴重聲明 :

本文的意圖只有一個就是通過分析android系統學習更多的病毒分析技術,如果有人利用本文知識和技術進行非法操作進行牟利,帶來的任何法律責任都將由操作者本人承擔,和本文作者無任何關係,最終還是希望大家能夠秉著學習的心態閱讀此文。

我們知道攔截木馬在Android病毒的發展史中扮演過很重要的角色,至今在全省病毒流量監控中,依然有很多用戶被該病毒所困擾。這篇文章的核心是探究攔截馬病毒實現的原理和基礎。

攔截馬的核心是獲得用戶的簡訊信息並屏蔽簡訊,實現用戶無法看到其他用戶或廠商發送給自己的簡訊並且把關鍵簡訊信息發送給病毒作者。在Android4.4x時代,該病毒依靠 abortbroadcast()方法即可實現簡訊攔截,但是在4.4x之後Android增加了不少安全措施,尤其是簡訊方向加強了限制,具體為新增了一個default sms的機制,簡單來講4.4之後無法只靠abortbroadcast()方法來實現簡訊攔截。

當然,對於開源的Android系統,任何安全措施基本都有對應的破解方法,既然只有default_sms才有許可權,那麼我們可以將自己的應用變為defaul_sms,下面案列我將分析Android6.0攔截馬的具體代碼:

1. AndroidManifest的許可權聲明:

ComposeSmsActivity的相關聲明

2.設置SmsReceiver,MmsReceiver,ComposeSmsActivity HeadlessSmsSendService,其中ComposeSmsActivity會獲取手機當前設置的默認簡訊應用的包名,如果不是自身APP的包名則會將默認簡訊應用的包名改為自身APP的包名

ComposeSmsActivity中的核心代碼

之後是對攔截馬具體惡意行為的詳細分析,攔截馬會在獲得default_sms許可權的基礎上使用abortbroadcast()方法實現簡訊攔截。病毒會先查詢用戶設備中聯繫人信息和sd卡中聯繫人信息:

查詢設備中聯繫人信息

查詢sd卡中聯繫人信息

通過釣魚簡訊實現惡意傳播

釣魚簡訊

判斷用戶是否安裝某q或某付寶

如果安裝qq和支付寶則開始釣魚行為,具體行為是該病毒內含偽造的qq和支付寶登錄界面,在病毒運行後會自動彈出偽造登錄界面,當用戶輸入相關信息後,該病毒便會記錄信息並發送給作者,而且該病毒還會跳轉到真實的支付寶或qq的應用中去,模擬度極高。當病毒作者獲得賬號信息後,通過簡訊攔截能夠輕鬆獲得用戶的驗證碼完成後續的惡意行為。

偽造相關應用登錄界面獲得賬號信息

跳轉到相對應用

攔截驗證碼信息


推薦閱讀:

你應當知道的:2018年「全球十大突破性技術」之「完美的網路隱私」
別大意,一個手機號真的能挖出很多信息,這些設置最好關閉
Facebook 真的在窺視你,不是通過你手機的麥克風
360水滴直播,請記得你們曾是一家安全公司
信息安全問題頻發的社交里,誰來保護我們的隱私?

TAG:互聯網隱私 | Android |