一、情况简介
从去年开始PC端的敲诈者类病毒在不断的爆发,今年年初的时候手机上也开始出现了敲诈者之类的病毒,对这类病毒很无语也是趋势,因为很多时候病毒的产生是和金钱利益相关的。前天去吾爱破解论坛病毒样本区看了看,有用户反映中了Android敲诈者病毒,就花时间分析了一下。该病毒欺骗用户是QQ空间刷赞的apk程序,诱导用户安装;一旦手机用户安装并且用户的手机已经被Root,那么该用户的手机就会中招,手机被锁定。该病毒与以往的敲诈者病毒相比,采用了比较巧妙的绕过杀软的小把戏。
二、样本基本信息
文件名称:名片赞系统-已破解.apk
文件大小:1317110 字节
文件类型:application/jar
样本包名:com.q448870015.root
MD5: A79FAE7E0DAB0E7047A5FCBE7AC3F0AA
SHA1: AE5531089D79AAEBD4B01834C95781BF59A56A7A
三、样本行为分析
1.经过分析和确认发现该病毒样本程序经过了爱加密加固进行加密,要分析样本必须先脱壳,使用DexExtractor工具将样本的爱加密壳脱掉了。
2.样本的真实包名为package="com.q448870015.root",样本的主Activity为"com.q448870015.root.ui.InstallActivity"。
3.发送标准广播"com.secneo.plugin.action.APP_STARTED"。
4.在用户手机上执行"su"命令,用以判断用户的手机是否被root过或者是手机里面的busybox支持“su”命令。
5.打开资源文件夹assets下的"a"文件,将其复制拷贝,在当前程序的data目录的files子目录"/data/data/com.q448870015.root/files"下创建文件"/data/data/com.q448870015.root/files/a"。
6.打开资源文件夹assets下的"b"文件,将其复制拷贝,在当前程序的data目录的files子目录"/data/data/com.q448870015.root/files"下创建文件"/data/data/com.q448870015.root/files/b"。
7.打开资源文件夹assets下的"o"文件,将其复制拷贝,在当前程序的data目录的files子目录"/data/data/com.q448870015.root/files"下创建文件"/data/data/com.q448870015.root/files/o"。
8.使用提示语言欺骗用户触发恶意的病毒行为,锁定用户的手机(对应下面的行为1)。
9.行为1:无论用户的手机root与否,直接创建线程在"su"环境下,执行下面的命令(如下图)并且只有在用户的手机已root的情况下,下面这些命令才会执行成功。
一旦命令执行成功,重启手机后用户的手机就会被锁定。
10.行为2:无论用户的手机root与否,,直接创建线程在"su"环境下,执行下面的命令(如下图)并且只有在用户的手机已root的情况下,下面这些命令才会执行成功。
一旦这些命令执行成功即可解除手机的锁定。
11.这类敲诈者病毒样本其实之前就出现过了,但是这个病毒样本比较巧妙,采取了一些措施来避免杀软的查杀。外壳病毒apk程序com.q448870015.root(名片赞系统-已破解)
使用爱加密加固加密了并且也不好判断为病毒apk程序;真实的敲诈病毒apk程序(名片赞系统)其实就是/data/data/com.q448870015.root/files/b文件,被隐藏起来了。
12.步骤8中,只要用户的手机一重启,开机后用户的手机就会被锁定;因为真实敲诈的病毒apk程序就是上面提到MtkEditer.apk程序、apk程序显示名称为名片赞系统、图标为QQ图标,注册了开机启动广播"android.intent.action.BOOT_COMPLETED";一旦用户的手机开机就启动病毒服务锁定用户的手机。

13.敲诈病毒程序MtkEditer.apk的包名为package="com.lzm20151007"。
14.锁定用户手机的病毒服务的行为分析--创建病毒服务时,获取当前系统的时间,格式化时间为"yyyy年MM月dd日-HH:mm:ss"格式,
然后将格式化的当前系统时间发送到病毒作者的手机13457484650上。
15.锁定用户手机的病毒服务的行为分析--病毒服务启动时,通过addView方法显示一个全屏置顶的悬浮窗口,根据设置WindowManager.LayoutParams的flags属性,
这个悬浮窗无法取消掉,导致用户的手机无法正常使用。
16.等待用户输入正确的解除码才能解锁手机,但是经过分析发现解锁手机并不难。
                                                   (序列号- 4488)* 4 = 解除码
例如:
序列号为1285348,则  解除码 = (1285348 - 4488)*4 = 5123440
被锁定的手机成功解锁。
样本来源:http://www.52pojie.cn/thread-426996-1-1.html
17.杀掉这个病毒的方法,对于已经Root的手机中了该病毒,直接卸载可能卸载不掉病毒apk程序,因为病毒程序已经将病毒apk放到/system/app路径下了,一般卸载apk的方法不好使。
手机解锁以后,每次的生成的解锁码都不同,如果不删除病毒apk程序,每次手机被锁定以后,都需要再次计算手机解锁码。
病毒apk的清除方法1:
先解锁手机,执行adb shell 进入手机系统,然后获取最高权限su,再依次执行下面的这些命令,即可删除病毒apk。
"mount -oremount,rw -t yaffs2 /dev/block/mtdblock3 /system"
"rm/system/app/MtkEditer.apk"
"rm/system/lib/libAlterData.so"
"rm/system/lib/libAlterData.so"
"rm -r/data/data/com.zxjw.mtkediter"
"mount -oremount,ro -t yaffs2 /dev/block/mtdblock3 /system"
病毒apk的清除方法2:
先解锁手机,然后使用手机助手类软件 (卸载系统内置软件功能)将已经root的手机中的病毒apk程序MtkEditer.apk的包名为package="com.lzm20151007"的程序卸载掉。
千万别忘了,包名为com.q448870015.root的apk病毒程序也要卸载掉。

===================================================================================================================
脱壳工具DexExtractor:https://github.com/bunnyblue/DexExtractor
看雪的链接:http://bbs.pediy.com/showthread.php?p=1377670#post1377670
该工具的作者已经编译好了Android模拟器的镜像文件system.img,镜像文件版本是Android 4.4 (api 19)放在了百度云盘里,可以自行下载。
作者已经放出了源码,有兴趣的爱好者可以根据自己的需求自行修改代码,然后编译定制自己的工具,编译得到的是libdvm.so库文件。
脱壳工具的使用方法:
1.将编译好的libdvm.so库文件替换掉手机系统[backcolor=rgba(0, 0, 0, 0.0392157)]/system/lib系统路径下的libdvm.so库文件。
2.将手机或者Android模拟器的里的相关文件替换为作者已经编译好的system.img文件。
===================================================================================================================
DexHunter工具:https://github.com/zyq8709/DexHunter
看雪的链接:http://www.kanxue.com/bbs/showthread.php?t=203776
DexHunter工具作者提供的貌似是Android 4.x源码编译后的Android模拟器的相关文件,如果要手机使用,需要打包成Rom,然后刷到手机里。

Android最新敲诈者病毒分析及解锁相关推荐

  1. Android最新敲诈者病毒分析及解锁(11月版)

    一.样本信息 文件名称:久秒名片赞,(无需积分s)(2)(1)(1).apk 文件大小:1497829字节 文件类型:application/jar 病毒类型:Android.CtLocker 样本包 ...

  2. 一个“良心未泯”的国产敲诈者病毒分析

    一. 前言 近两年,以敲诈勒索为目的的文件加密恶意软件逐渐成为恶意软件中的主力军.以Locky家族,ceber家族为典型代表的敲诈勒索软件席卷国外,对政府机构,公司乃至个人用户造成了极大的危害.早期的 ...

  3. Android锁屏勒索病毒分析(1)BWM在线

    1.样本概况 1.1 基本信息 样本名称: 刷赞. 所属家族: 锁屏勒索病毒(a.rogue.SimpleLocker.a) MD5值: 7626090b69cd1e2e5671a022712808e ...

  4. Android锁屏勒索病毒分析(2)免流服务器

    1.样本概况 1.1 基本信息 样本名称: 免流服务器. 所属家族: 锁屏勒索病毒(a.rogue.SimpleLocker.a) MD5值: 2efca46f34a565c2ef4052b89b6b ...

  5. Android锁屏勒索病毒分析(3)刷赞

    1.样本概况 1.1 基本信息 样本名称: 刷赞. 所属家族: 锁屏勒索病毒(a.rogue.SimpleLocker.a) MD5值: 7626090b69cd1e2e5671a022712808e ...

  6. 013 Android锁机病毒分析

    文章目录 免流服务器-锁机病毒分析 秒抢红包-锁机病毒分析 免流服务器-锁机病毒分析 首先来分析这个免流服务器的锁机病毒,文件信息如下 文件: 免流服务器.apk 大小: 799835 bytes 修 ...

  7. Android逆向与病毒分析

    本文由同程旅游安全团队对内移动安全培训的PPT整理而来,面向对象为对移动安全感兴趣的研发同事,所以讲的有些宽泛.介绍了入门Android逆向需要掌握的一些知识点, 通过简单的几个案例讲解Android ...

  8. 最新恶意复制型病毒及代码分析

    最新恶意复制型病毒及代码分析病毒最大的特点在于中毒后,自动感染你的硬盘根目录,并复制病毒文件.无论你是采用双击,还是右键选择打开,或者运行资源管理器都会自动运行其代码(病毒),所以中此病毒后,新手往往 ...

  9. CTB-Locker敲诈者病毒下载器分析

    一. 样本基本信息 样本名称:927354529512.scr 样本大小:110592 字节 病毒名称:Win32.Trojan.Ctb-locker.Auto 样本MD5值:3A6D7E551C13 ...

最新文章

  1. 【干货51页PPT】深度学习理论理解探索
  2. 白话Elasticsearch14-深度探秘搜索技术之基于multi_match 使用most_fields策略进行cross-fields search弊端
  3. 响应式html5模板代码,响应式多用途HTML5模板
  4. px、pt、em、rem 的区别
  5. 安卓使用videoview进行音频、视频播放,及播放控制
  6. 第一百六十三节,jQuery,基础核心
  7. 80. 删除排序数组中的重复项 II
  8. 虹软人脸识别android源码demo,虹软2.0 离线人脸识别 Android 开发 Demo
  9. 万能地图下载器如何下载屏幕之外的谷歌卫星地图
  10. 《淘宝技术这十年》之LAMP架构的网站
  11. 计算机中数据的计量单位
  12. matlab如何绘制已知公式的曲线图,Excel怎么绘制函数曲线图像?
  13. [译]尤雨溪: Ref语法糖提案
  14. 关于word2016保存失败
  15. 面试神仙打架?探秘华为人工智能工程师岗位
  16. 一线城市中小公司的月薪10k前端工程师应该会什么?
  17. Win7怎么进入安全模式改密码
  18. 大话成像之《图像质量测试测量与国际标准》课程
  19. 关于我如何阅读源码这件事...
  20. alpha测试和beta测试

热门文章

  1. 计算机毕业设计Java携手同游旅游社交平台(源码+系统+mysql数据库+Lw文档)
  2. 江山易改本性难移之I2C要点
  3. Spring Cloud 分布式消息—Spring Cloud Stream 自定义通道与分组分区应用
  4. 可以修改APP数据库(图标、名称、背景等)的简单方法
  5. Bundle ID 无误,验证通不过
  6. 记录初学者学习 xpath的一些笔记
  7. Sublime Text 2 - 性感无比的代码编辑器
  8. 一本书读懂AIGC与ChatGPT的前世今生
  9. 记住身体的小秘密(信则有,不信则无,看完不需要有心理负担哈!)
  10. 从零开始仿写一个抖音App——基于FFmpeg的极简视频播放器