对某Android木马样本的简要分析

样本介绍

• 样本名称：结婚请柬.apk
• 捕获渠道：手机短信 点击链接下载
• 捕获日期：1/19/2016
• 文件大小：329674 bytes
• SHA256: 620CD55EF6E709F3B5B2625F9F425613C65929F7643923C9C816A29FFBAF3CBD
• SHA1: A60D4ACD69BDAF04B0BF841F2EB5A10CCDF2BECA

内容分析

直接对apk解包，发现其没有进行混淆，便于直接分析。

从资源文件中可以看到，该木马获取的主要权限有：收发、拦截短消息；读写通话记录；读取联系人；向SD卡中写入文件。另外，通过将自己置为短信广播的接受者，在收到短信时触发对应动作。该木马还将自己注册成为开机自启动项目，并定时唤醒，以达到随时活动的目的。此外，该木马还将自己添加为设备管理器，以防止自己被卸载。

安装完成后，首次启动程序时，会启动附带的服务，并试图激活设备管理器。同时，将会删除自己在主屏幕上的图标，隐藏自身。

服务端首次启动时，会向控制者的手机发送短信和IMEI。同时，通过邮件向控制者指定的邮箱发送消息。

服务端通过短信接受控制者的指令。当发送短信开头为特定组合时，将会执行不同的命令，如：开通或取消呼叫转移业务、获取短信、获取通讯录、短信拦截等。

设定了短信拦截后，特定来源的信息将会被直接拦截，并发送到预置的手机号。由于攻击者的邮箱密码明文置入到了木马中，因此我们可以直接看到众多受害者的资料。从中可以发现，有一部分受害者已经经受了经济损失。

其他情况

某受害者收到一条的短信如下：

其中，受害人名称与其真实信息一致。短信链接指向电信云公共存储服务中的某文件，其内容为本病毒的apk文件。同时，我们在控制者的网盘帐号中，也看到了相同的病毒文件。

从收件箱收到的短信看，这款木马于1月13日上线，迄今收到320封信件，其中有效受害者约20名。被植入木马的受害者中，大部分位于北京、广州等地。而与发件人相关的手机号码共三个，其中，159****3474和132****6895为*哲所有，135****3441为*煜鹏所有，二人主要活动地点可能位于广东省深圳市，且可能为常住人口。此外，从代码风格看，该款木马可能是由有多名（至少两名）一定基础的初学者自行开发。

这款木马没有采用反混淆手段，在系统中的隐藏痕迹并不明显，可认为该款木马主要目标为零基础的智能手机用户。结合木马获取的资料分析，中招人群多数为经理、官员等，尤其是平时对计算机接触不多的普通用户。

总结

可以推测，控制者利用短信群发平台或伪基站等手段，以已有的社工库为基础，向受害者发送包含病毒链接消息。用户如果不小心下载并执行病毒文件，则所有短信和通话均有可能被拦截，导致受害者经受经济损失。此外，通过获取受害者的通讯录，可以对已有受害者的朋友、家属等，展开新一轮相同的攻击。更危险的是，对特定受害者的通讯录、短信进行具体分析，有可能采用诈骗电话等手段进行进一步攻击。

我们建议，一般的手机用户应自行安装安全防护软件，并提高安全警惕，拒绝下载、安装来源不明的软件安装包，并定时清理手机病毒。