安卓恶意锁屏APP分析

1. 样本信息

病毒名称：BWM在线
所属家族：
MD5值：E32377EE18BF0D853D5B45DEDFB6997D
SHA1值:3116F5CF6EFEDFECD259CD9468A20AA60EB57769
CRC32：F318E41F
病毒行为：
“android.permission.SYSTEM_ALERT_WINDOW” –>允许应用程序显示系统警告窗口
“android.permission.RECEIVE_BOOT_COMPLETED”–>开机自启
“android.permission.INTERNET” –>允许程序访问网络
“android.permission.ACCESS_NETWORK_STATE” –>获取网络状态
加固情况: 未加固

1.2 测试环境及工具

Win10下夜神安卓模拟器,AndroidKiller

1.3 分析目标

找到解锁密码.

2.具体行为分析

2.1 锁定用户手机屏幕

2.2 恶意程序在Androidmanifest.xml中注册的恶意组件

(1)权限相关
android.permission.SYSTEM_ALERT_WINDOW :显示系统警告窗口
android.permission.RECEIVE_BOOT_COMPLETED:开机自启
(2)服务/广播

<service android:name="s"/><service android:name="b"/><receiver android:name="Fr"><receiver android:name="r">

2.3分析过程

1.根据提示信息,可以从按钮事件上下手.

2.根据字符串找到对应的字符串ID.(在public.xml中),然后找到对应的代码处.

3.根据代码即可找到正确的密码.


4.输入密码测试

3.总结

该app中有两个固定的字符串”831524”(随机码)和”第六感是我爷爷”(解锁码).可以通过这个两个字符串快速定位.