伪装安卓中国移动手机支付控件之隐私扣费木马 12月样本

qtfreet00

软件名：和包支付控件
包名：org.apatch.util
是否加壳：无
MD5: 6BBD8C2ACB0EF3FCBFF18D46AC413567
SHA1: 29BBD85019FF3FDE2F8172FAD11AD9F9DC6D23EF

样本地址：

一款apk木马，上传火眼无分析结果，求大神看看，火眼已尿！
http://www.52pojie.cn/thread-443775-1-1.html
(出处: 吾爱破解论坛)

拿到APK后，我的QQ管家就直接报毒了{:1_931:}，加入白名单后进行分析，考虑到代码的可读性和跟踪，建议大家分析的时候同时开jeb和jadx两款分析工具，jadx代码可读性高，jeb跟踪能力和重命名能力强。

0x0  木马初始化


该木马只有一个活动类，其本身并无任何作用，就是一个初始化操作而已，第一个if判断我们跟进


遍历系统进程寻找是否有ControlService这个服务，后面的e



就是获取该服务的类名，如果不存在则返回false，反之为true

回到主类下，不存在则进入if判断语句，首先启动服务，接着执行try下的d.a().e方法，跟进



在方法中又实例化了其它方法，继续跟进a类中的a方法，



这里直接把QQ邮箱和密码给炸出来了，不过经笔者测试了下，密码不对，先不管，接着我们跟进下g类中的e方法，看看他究竟想获取什么信息发送到他的邮箱



很明显获取手机号，系统定制商，运营商三个信息，接着会在b方法中进行一些发送邮件相关的初始化设置


设置完成后便会开启一个线程去执行发送邮件的操作

回到主类下



接着会执行下面的方法，首先获取系统服务device_policy，看到这个就要想到设备管理器了，接下来实例化了一个component属性，对应的类为DeviceReceiver
继续往下，又是一个if判断，判断a属性是否isAdminActive，我们看下a是什么类型的变量



系统默认情况下，是不会开启设备管理器的，所以返回为false，进入if判断内的方法语句，调用a方法，并将之前的component传入



接着提示用户激活设备管理器和DeviceReceiver类，这里虽然使用的startActivityForResult来启动intent，但并未写onActivityResult来响应这个操作，所以当用户在取消激活的情况下，程序每次启动都会执行一次，一般激活管理器的作用就是加大程序被卸载的难度，借助一些手法也可以轻松的卸载。


0x2 分析ControlService服务

分析过mainifest文件后，除了设置了较高的优先级，并未发现此服务的其它敏感信息，那就直接分析代码，启动服务后，会执行服务中的构造方法，onCreate方法，onStartCommand方法和onStart方法，我们逐一分析


一般构造方法就是给变量初始化，我们看下这些变量的类型



两个handler ，一个定时器g和一个启动定时器的b，暂未分析的d方法，一个布尔类型值和一个string字符串



观察后发现onCreate和onStart方法未执行任何操作，直接分析onStartCommand方法

第一句直接注册了内容观察者，对应的uri为短信，即当短信发生变动后（收发信息），都会触发此方法，借用iteye上@

emowuyi

的介绍

注册/取消注册ContentObserver方法，抽象类ContentResolver类中的方法原型如下：

public final void registerContentObserver(Uri uri, boolean notifyForDescendents, ContentObserver observer)

功能：为指定的Uri注册一个ContentObserver派生类实例，当给定的Uri发生改变时，回调该实例对象去处理。

参数：uri 需要观察的Uri(需要在UriMatcher里注册，否则该Uri也没有意义了)

notifyForDescendents 为false 表示精确匹配，即只匹配该Uri

为true 表示可以同时匹配其派生的Uri，举例如下：

假设UriMatcher 里注册的Uri共有一下类型：

1 、content://com.qin.cb/student (学生)

2 、content://com.qin.cb/student/#

3、 content://com.qin.cb/student/schoolchild(小学生，派生的Uri)

假设我们当前需要观察的Uri为content://com.qin.cb/student，如果发生数据变化的Uri为

content://com.qin.cb/student/schoolchild ，当notifyForDescendents为 false，那么该ContentObserver会监听不到，

但是当notifyForDescendents 为ture，能捕捉该Uri的数据库变化。

observer ContentObserver的派生类实例

那第三个参数就是处理短信变化的类，跟进，



复写onChange方法，监听收件箱的短信变化，当接收到短信后，便解析其中的号码，人物，内容，时间等等，并赋值给h类中





最后发送消息给对应的hanlder，这里的handler即我们实例化f类时传进来的d，回到服务下



判断当前系统版本，如果高于或等于4.4，则会开启一个定时器任务，延迟10s，周期5s，接着调用b方法



在方法中我们看到了疑似作者手机号的东西，v0则会之前的



接着将v0传入org.apatch.google.util.b.a(v0)方法中，跟进一下



这里对数据进行了md5加密，话说这里md5后他就算收到了难道还能解密？

接着判断v2是否为空，v1是否等于v2，这里还没研究好，暂时跳过，如果一个条件成立，则进入判断语句，依然开启一个定时器



并调用a方法，跟进a方法



一个发送短信的操作，留意下a方法的参数，最后两个参数为广播，估计在发送短信后会给程序做一些提示，我们稍后分析

在传参的时候传入了org.apatch.google.msgcontrol.e(this, arg7，v1)广播,和一个空广播，跟进e方法，




当接收到广播后，判断是否为-1，等于后则实例化a方法，跟进后发现就是个sharedpreferences方法



写入的内容是c属性，看下c属性的值，跟踪后发现就是加密后的v1值
回溯到之前说的handler，我们看下这个d到底做了什么



这里实例化了c类，看下c类做了哪些操作



这里接收到了之前的信息，也就是



判断是否为空，如果不为空，则实例化a方法，首先把v0对象强转为之前的属性，即上图，以及ControlService对象

跟进a方法



首先判断号码是否为作者号码，如果是，则跳过判断，实则就是忽略作者的信息，接着依然是写入一些信息到本地

有一部分信息很乱，就不逐一分析了，直接贴图看看这个程序还会做写什么操作



程序还会获取短信，联系人，通话记录等隐私信息，



观察此方法，判断当前默认短信应用是否为该木马，如果不是，则启动ComposeAbsActivity类，并添加flags，查询android 官方api后，得知v0.addFlags(268435456)对应的就是





接着启动该intent，跟进ComposeAbsActivity活动类，



此方法用于设置默认短信应用，这就跟我们之前的判断联系起来了，当设置为默认短信应用后，即可进行一系列的写入本地的操作



并且此类具有发送短信的功能。

分析到这里，发现剩下的几个高危服务都没有启用，也就不分析了，唯一一个启动的DeviceAdminReceiver 也没有做实质性的操作，只是在用户取消激活时给用户一个诱导提示而已


0x3 总结

此木马主要会获取手机上的敏感信息，并通过短信和邮件的方式发送给作者，让用户在不经意间丢失了隐私以及一些流量和短信费用
木马整体错综复杂，调用非常混乱，需要很强的逻辑和跟踪分析能力，反正我是不行

最后分析的一般，还望大牛斧正。

样本地址： 样本.zip (709.36 KB, 下载次数: 253)

2015-12-9 13:32 上传

点击文件名下载附件

解压密码：52pojie

Thefirst1

QQ：552346159　
Tel：010-80286039
Name：吴健强
Company：中科德邦（北京）生物科技有限公司
Address：中国 北京市大兴区 北京大兴区青云店沙子营工业区　

估计这收信QQ也是木马作者盗来的。。。

lkr291484473

建议大家分析的时候同时开jeb和jadx两款分析工具，jadx代码可读性搞，jeb跟踪能力强。
可读性搞

夜之零落兮

占个沙发，买了花生瓜子可乐，坐看直播~~~

铅笔刀

不错 支持

nyhsjc

学习了，感谢大神分享思路！

C-FBI-QM

等晚上继续看

隔壁小王

从未遇到过啊

riverskywrorld

楼主果然能力强大。感谢楼主分析讲解。