android手机木马的提取与分析

Android手机木马病毒的提取与分析
  为有效侦破使用手机木马进行诈骗、盗窃等违法犯罪的案件，对手机木马病毒的特点、植入方式、运行状态进行了研究，利用dex2jar、jdgui等工具软件查看apk文件源代码。结合实例，讲述了如何提取关键代码与配置数据，并对手机木马病毒的危险函数、启动方式、权限列表进行分析，证明了该方法的可行性，提取了违法犯罪行为的关键线索服务于侦查办案和证据固定。
智能手机给用户带来便利的同时，手机恶意软件也在各种各样的违法活动中充当了重要角色，其中手机木马病毒犯罪日渐加速化、产业链化、智能化和隐藏化。   Android手机木马病毒主要完成植入木马、运行病毒、监控手机、盗取信息、转走钱财。他们伪造成“XX照片”、“违章查询处理”、“开房记录查看”、“XX神器”等易于被人点击安装的方式出现，这种恶意短信中附的网址，其实就是诱导下载一个手机软件，安装后手机内并不会显示出该应用，但其中的木马病毒已植入，后台会记录下机主的一切操作，可以随时监控到手机记录。若机主登录网银、支付宝、微信红包等，银行卡账号、密码就都被泄露了，黑客能轻易转走资金。此类案件近期呈现高发的趋势。面对各种各样善于伪装隐藏的手机木马病毒，如何提取分析，并固定证据成为一项重要工作。
本文从Android手机木马病毒的特点入手，讲述了如何提取分析关键代码与配置数据，从而分析出违法犯罪行为的关键线索服务于侦查办案和证据固定。
诈骗、盗窃的目标不变，那就是诱导点击安装短信的链接网址中的木马。木马植入到目标系统，需要一段时间来获取信息，必须隐藏自己的行踪，以确保木马的整体隐藏能力，以便实现长期的目的。主要包括本地隐藏、文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、通信隐藏、协同隐藏、日志过滤和Rootkit模块的隐藏。然后实现了Android系统下木马攻击的各种功能，主要有删除SIM卡和手机里的通讯录、删除SD卡里的文件和上传文件到电脑控制端。
   1、木马病毒的植入、提取
   1.1植入
  (1)很多用户不希望支付软件费用，含有木马的手机应用的第三方网站通过提供破解版、修改版来诱骗下载。
  (2)通过发送短信或彩信到用户手机，诱骗手机用户点击短信中URL或者打开彩信附件，从而达到了植入木马的目的。带网址链接的短信诈骗是目前十分流行的诈骗方式，短信内容不断变化，但对于手机系统来讲，为了能够及时有效的发现手机病毒木马程序必须采用动静结合的方式。通过对Android运行任务进行检查可以发现是否有可疑程序在运行。
1.2提取
   提取的方式，一是根据URL链接地址，从互联网上进行提取；二是根据手机存储的位置，找到安装文件进行提取，比较常见的提取位置有：一般存放在根目录下、DownLoad文件夹中、还有隐藏在系统文件system文件夹中；三是遇到URL无法打开，安装源文件被删除等情况，借助豌豆荚、360手机助手等工具软件，从应用程序找出木马病毒进行导出成apk文件。
   2、木马病毒的分析
   Android木马程序由client端程序和server端程序组成，server端通过移动互联网控制client端，client端程序安装在目标手机上，接收控制端的一些命令并执行，同时把结果返回给控制端，android木马带来的危害主要是远程窃密、通话监听、信息截获和伪造欺骗。Android手机木马病毒程序是以APK文件形式存在的，JAVAAPK是基于JAVA开发的，JAVA可以用的反编译要比其他高级语言容易实现。在的优势之一就是APKapktool、DoAPK、apkmanager、Dex2jarJAVA环境中图片、文件反编译，Jar语言资源等文件。一个生成应用程序的APKXML和jdgui等工具将文件结构为：配置、JAVA“源代码和配置文件”、““res\classes.dex存放资源件””Dalvik码、、“AndroidManifest.xmMETAINF\“resources.arsc程序全局”编译后的二进制资源文件。其中classes.dex和AndroidManifest.xml是侦查破案工作中分析的重点。AndroidManifest.xml是程序全局配置文件，描述应用的名字、版本、权限、引用库文件等信息，每一个应用程序的根目录都会有一个classes.dex接运行的执行程序，是Dalvik字节码，利用解析工具可以将其转换为可以在AndroidAndroidManifest.xmlDalvik虚拟机上直文件；Java源代码进行阅读和理解。本文通过介绍一种新型的木马病毒程序MM.APK发送到多位用户手机，来对Android系统中的木马进行分析。该款病毒程序接收到银行发送的转账验证码，造成财产损失20余万元。
  2.1AndroidManifest.xml
  该新型木马程序，AndroidManifest.xml文件定义的功能有：启动服务、tActionActivityForResult、获取邮件获取用户SessionID（手机串号、获取本机电话号码、）、添加View、调用读取文件、Intent的激活se?tent件、、传递附加信息、、注册初ContentObserverURL、发送短信、、登录邮箱、初始化In?App读取手机短信、隐藏桌面快捷图标、获取运行写入文件、service发送邮共享数据等功能。
  2.2classes.dex、查询文件
gui使用dex2jar工具对classes.dex文件进行反编译，再使用jd?信点击下载到手机后会自动安装并在后台运行，工具来查看源代码文件的具体内容。首先，该程序通过短手机界面会自动隐藏图标；其次，MM.APK软件安装成功后会向特定手机号码136****8120@163.com136****8120发送安装成功信息，下面是木马病毒功能分析：
android/app/NotificationManager;->notify危险函数
ContentResolver;->query信息通知栏
java/net/URL;->openConnection读取联系人、短信等数据库
SmsReceiver;->abortBroadcast连接URLSmsManager;->sendMultipartTextMessage拦截短信接收SmsManager;->sendTextMessage发送彩信TelephonyManager;->getLine1Number发送普通短信ContentResolver;->delete获取手机号、删除短信、联系人动服务
tvthrbbfff.abr6yyhr.BootReceiver监控短信（收到短信）启tvthrbbfff.abr6yyhr.BootReceivertvthrbbfff.abr6yyhr.BootReceiver开机启动服务tvthrbbfff.abr6yyhr.NetstateReceiver屏幕解锁启动服务网络连接改变时启tvthrbbfff.abr6yyhr.SmsReceiver监控短信（收到短信）启tvthrbbfff.abr6yyhr.SmsReceiver屏幕解锁启动服务android.permission.READ SMS权限列表
android.permission.WRITE SMS读取短信android.permission.SEND SMS写短信android.permission.RECEIVE SMS发送短信android.permission.READ PHONE STATE监控接收短信android.permission.READ CONTACTS读取联系人信息读取电话状态信息
android.permission.RECEIVE WAP PUSH接收wappushandroid.permission.RECEIVE MMSandroid.permission.CALL PHONE接收彩信视、修改有关拨出电话
android.permission.PROCESS OUTGOING CALLS拨打电话
监android.permission.INTERNET连接网络（2G状态（android.permission.ACCESS NETWORK STATE或2G或3G）
读取网络3G）状态
android.permission.ACCESS WIFI STATE读取wifi网络android.permission.READ LOGS读取系统日志
3结束语
通过对新型木马病毒的分析，此类型的木马程序主要是定
向发送，盗窃银行卡钱财为主，嫌疑人留有实施犯罪接收的邮箱和手机号码，案件侦查人员和取证人员可以通过此类方法掌握该类木马病毒实施恶意行为的配置数据、JAVA关键代码等内容，最终确定回传方式，快速锁定犯罪嫌疑人。但对于采用代码混淆或加壳的手机木马病毒程序，很难进行精准还原。在具体的工作实践中，充分利用多种技术，灵活运用网络资源，分析木马病毒使用者的目的、动机，进而分析案件线索，为案件的侦破提供方向和技术执掌，充分发挥网络侦查的作用。

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。