一. 恶意行为
1.病毒启动后申请root权限,hook系统服务进程,影响用户设备正常关机;
2.接收广播,私自进行拍照并上传至服务器等行为;
3.窃取用户短信,联系人,地理等信息并上传;
4.拦截短信并上传至服务器。
二. 流程图
三. 详细分析
1.软件自身dex分析
软件运行后启动服务com.phone.CService,调用hide()方法隐藏图标,
申请root权限
注册大量广播接收器:
PictureAgainReceiver用于接收广播picture.again调用SelfCamera2类的TakePicture()方法进行拍照:
MySurfaceView类用于预览照片,完成时图片存放于以下路径:
初始化生成及加载文件
文件注入完成后开始hook系统服务
设置将要hook的进程及方法名等信息传入hook()方法
被hook的系统进程及注入文件
根据传送来的参数hook
startCheck判断各个文件是否注入并调用成功
各个子包行为
子包\res\raw\libhookjava5.so加载子包\res\raw\ksremote.jar
子包\res\raw\ksremote.jar
注册广播接收器bindSdBroadReceiver
创建广播接收器SmsReceiver_old;
拦截短信
Tmp方法通过广播将数据发送
软件自身dex通过广播接收器接收并上传至指定服务器
通过文件ip_config读取服务器地址
获取用户通话记录
获取联系人信息
获取手机网络浏览历史
RSDServerImpl_old类
通过此广播接收器接收对应广播进行关机,重启,获取短信,获取通讯录等操作:
调用com.sd.hk.impl.RSDServerImpl类的hkShutdownMethod
com.sd.hk.impl.RSDServerImpl的初始化
Init方法通过调用子包\res\raw\libMUMtdown.so中的is方法,判断进程是否系统进程,进而访问不同的端口,从网络端获取数据
调用Jnicommon类
子包\res\raw\libH1Ck.so hook了系统的reboot方法,从而控制设备正常关机
子包\res\raw\libMUMtdown.so中的对应方法
通过修改Android属性进行拦截修改其关机或重启操作
四. 溯源信息
根据其上传信息的服务器ip,我们对其进行定位,发现其地理位置位于成都市:
五. 清除方案
system/lib/libyyzutils5.so
system/lib/lib8S5ec.so
system/lib/lib9WJutils.so
system/lib/libH1Ck.so
system/lib/libIZTkpackage.so
system/lib/libMUMtdown.so
system/lib/libOYBkprovider.so
system/lib/lib3HKkradio.so
system/lib/lib6HZkjava.so
六. 查杀截图