Android最新敲诈者病毒分析及解锁(11月版)
来源:互联网 发布:只会php有用吗 编辑:程序博客网 时间:2024/05/16 08:41
一、样本信息
文件名称:久秒名片赞,(无需积分s)(2)(1)(1).apk
文件大小:1497829字节
文件类型:application/jar
病毒类型:Android.CtLocker
样本包名:android.support.v8
MD5: 8123AC1150B47EF53507EC2360164E3B
SHA1: 958B1E341C72DBCF52863C570B77C71A862987B1
Android敲诈者病毒样本来源于这位坛友http://www.52pojie.cn/thread-430284-1-1.html。
二、行为分析
1.经过AndroidKiller工具反编译、查壳发现,该样本apk程序已经经过爱加密加固过了。但是也奇怪,碰到不少的Android敲诈者病毒从去年到现在,
基本都是经过爱加密加固加过壳处理。为了分析该敲诈者病毒,对样本进行脱壳处理.。
2.该敲诈者病毒样本的包名为android.support.v8主活动类为android.support.v7.q448870015。
3. 该敲诈者样本Apk被安装运行后,首先获取设备安全管理服务,判断当前主活动组件是否有系统管理员权限;
如果当前主活动组件有系统管理员权限,直接将用户的手机进行锁定。
4.如果当前主活动组件没有系统管理员权限,则创建新的Activity可视界面活动类android.app.action.ADD_DEVICE_ADMIN,
使用诱导性的提示语“请先激活设备管理器”,诱导用户激活设备管理器,用户点击“激活”,激活设备管理器获取系统管理员权限,
为用户的手机设置锁屏密码做准备。
5.对这个作者很无语,如果用户点击“激活”,激活了用户手机的设备管器,获取系统权限则该病毒apk程序会为用户的手机设置固定值的锁机密码,
经过解密后得到锁机密码为"4650";如果用户没有点击激活,则该样本apk会死循环调用显示设备激活管理器界面,直到用户点击激活导致手机被锁屏密码锁定为止。
6.该病毒的作者还设置了另外一组手机锁屏的密码,但是经过分析发现,用病毒作者的字符串解密代码解密出来的手机锁屏密码是空。
7.但是请注意,即使解锁了手机的锁屏密码,但是一旦用户的手机重启、手机的通话状态发生改变、手机的网络状态发生改变、屏幕横竖屏发生切换、
WIFI的状态发生改变等,用户的手机又会被全屏界面活动类锁定,不能正常使用。
8.由于该病毒apk程序,静态注册了上面截图中提到的很多广播;因此,一旦有这些广播发出,该apk程序就会高优先级的调用广播接收者"android.support.v7.BootBroadcastReceiver"。
9. 广播接收者"android.support.v7.BootBroadcastReceiver"则会启动全屏界面透明的活动类"android.support.v7.MainActivity",将用户的手机再次锁定,导致用户的手机不能正常使用并且还会播放一段音乐。
10.估计病毒作者业务做得太大了,需要将"薄荷心凉i"发送到病毒作者的手机13457484650上才知道是自己的那款Android敲诈者病毒将用户的手机锁机了。
11.经过分析发现,解锁用户手机锁定的密码是字符串"薄荷终究是心凉",思考分析了一下午,但是觉得解锁密码有些蹊跷。
12.这里要提到的是,手机的锁屏解密后,过一段时间0x3B9AC9FF时间单位后,11中提到的锁机密码会自动消失解机,但是用户等不到那个时间。
13.即使有幸手机没有被锁定,但是在用户手机屏幕上,创建顶层显示忽略界面屏幕装饰、不允许获得焦点的悬浮窗口,
导致用户的手机上总是有一个透明状的悬浮窗口,卸载病毒apk即可去掉该浮窗。
号外:
===================================================================================================================
锁屏密码有两个分析是 "" 和 "4650",后面的锁机密码是 "薄荷终究是心凉" ---但是貌似有点问题,就是输入的问题,一直没有搞清楚。
============================================================================================
0 0
- Android最新敲诈者病毒分析及解锁(11月版)
- Android最新敲诈者病毒分析及解锁
- Android敲诈者病毒“安卓性能激活”分析(2015年9月版)
- 什么是敲诈者病毒
- CTB-Locker敲诈者病毒下载器分析
- 警惕敲诈者病毒 用户遭遇"敲诈"要冷静处置
- Onion、WannaCry敲诈者蠕虫病毒防御工具
- Android手机病毒分析及研究
- 中了敲诈者病毒,文件恢复有可能吗?你长着一张被勒索木马敲诈的脸?
- 【良心发现】TeslaCrypt敲诈者病毒作者放出解密密钥,TeslaCrypt病毒解决方案
- 12月最新Windows Live邮箱注册漏洞及分析
- android 4.0 解锁分析
- Android锁屏及解锁相关代码分析
- js敲诈者变种利用PowerShell免杀分析
- CTB-LOCKER敲诈者病毒下载器脱壳之样本1
- 腾讯安全反病毒实验室:“敲诈者”黑产研究报告
- 阻止比特币敲诈病毒方法
- 最新AUTO病毒变种分析和解决方案
- Android Studio 快捷键
- Android ActionBar的使用
- Android Studio jar包的导入
- css 介绍
- WPF 绘正方形,设置鼠标不偏离,保持在右下角
- Android最新敲诈者病毒分析及解锁(11月版)
- 用指针数组构造字符串数组
- scrapy-抓取天猫女装销量前60的商品名称、价格、链接及打开连接后的店铺名称和链接
- Home/Search key doesn't work, and Power key cann't lock screen 关于home首页 搜索按键失灵,电源键不能锁屏问题
- Java注解知识点整理
- eclipse运行android时Console最后提示Done!不运行程序
- 虚函数和纯虚函数的作用与区别 http://blog.csdn.net/xwpc702/article/details/8670025
- 用指针实现逆序列存放数组元素值
- layer插件API文档学习