Android6.0攔截馬分析

嚴重聲明 ：

我們知道攔截木馬在Android病毒的發展史中扮演過很重要的角色，至今在全省病毒流量監控中，依然有很多用戶被該病毒所困擾。這篇文章的核心是探究攔截馬病毒實現的原理和基礎。

攔截馬的核心是獲得用戶的簡訊信息並屏蔽簡訊，實現用戶無法看到其他用戶或廠商發送給自己的簡訊並且把關鍵簡訊信息發送給病毒作者。在Android4.4x時代，該病毒依靠 abortbroadcast()方法即可實現簡訊攔截，但是在4.4x之後Android增加了不少安全措施，尤其是簡訊方向加強了限制，具體為新增了一個default sms的機制，簡單來講4.4之後無法只靠abortbroadcast()方法來實現簡訊攔截。

當然，對於開源的Android系統，任何安全措施基本都有對應的破解方法，既然只有default_sms才有許可權，那麼我們可以將自己的應用變為defaul_sms,下面案列我將分析Android6.0攔截馬的具體代碼：

1. AndroidManifest的許可權聲明：

2.設置SmsReceiver，MmsReceiver，ComposeSmsActivity HeadlessSmsSendService，其中ComposeSmsActivity會獲取手機當前設置的默認簡訊應用的包名，如果不是自身APP的包名則會將默認簡訊應用的包名改為自身APP的包名

之後是對攔截馬具體惡意行為的詳細分析，攔截馬會在獲得default_sms許可權的基礎上使用abortbroadcast（）方法實現簡訊攔截。病毒會先查詢用戶設備中聯繫人信息和sd卡中聯繫人信息：

通過釣魚簡訊實現惡意傳播

判斷用戶是否安裝某q或某付寶

如果安裝qq和支付寶則開始釣魚行為，具體行為是該病毒內含偽造的qq和支付寶登錄界面，在病毒運行後會自動彈出偽造登錄界面，當用戶輸入相關信息後，該病毒便會記錄信息並發送給作者，而且該病毒還會跳轉到真實的支付寶或qq的應用中去，模擬度極高。當病毒作者獲得賬號信息後，通過簡訊攔截能夠輕鬆獲得用戶的驗證碼完成後續的惡意行為。