一、情况简介

前几天分析了论坛里的一个Android敲诈者病毒,感觉还是很有收获,后面有空多研究研究Android病毒。说句题外话,
根据前面分析的Android敲诈者病毒的隐藏手法,应该可以实现“手机助手”类软件里的“卸载系统预留软件”的功能。
在前面Android敲诈者病毒的评论里,有朋友留了个贴吧的链接,进去逛了逛,又发现了一枚Android敲诈者病毒,病毒
程序图标很熟悉,360技术博客里有分析过该图标的病毒。不知道怎么的,之前也接触过这类Android病毒是爱加密加固
加密的,这次这个Android敲诈者病毒是梆梆加固加密的,贴吧显示其出现的时间是2015年9月10号左右。




二、样本信息

文件名称:安卓性能激活.apk
文件大小:1190613 字节
文件类型:Application/jar
样本包名:tx.qq898507339.bzy9
MD5: EA7A57771D7E31B9C7AB83081D305867
SHA1: 80AF8002861899323B6249ADA60685A0FDA26C64



1.经过AndroidKiller对样本文件进行反编译发现,原病毒Apk程序经过了梆梆加固处理,包名为"tx.qq898507339.bzy9",
主活动Activity类为"tx.qq898507339.bzy9.MainActivity"。不过及其幸运的是使用DexExtractor脱壳工具可以脱掉梆梆加固的壳。



2.启动服务"tx.qq898507339.bzy9.RunBackgoundTips",病毒作者在传播病毒锁定用户的手机的同时,不忘了给自己打广告、代个言。





3.启动服务"tx.qq898507339.bzy9.FloatingWindowService",获取随Android系统启动的apk程序的包名,设置顶层不响应触摸消息的悬浮
窗口,提示用户后面被锁机以后联系悬浮窗口上的QQ号。





4.获取安全设备管理器,向admin设备发送Intent消息,创建设备管理器系统权限激活界面,使用诱导性的语言“请激活服务/取消则无法使用”,
诱导用户点击激活按钮,当前Apk程序获取系统管理员权限。





5.病毒获取系统管理员权限以后,给用户的手机设置锁屏密码">>>qq
898507339 bzy>>>",但是千万要注意密码啊,
解屏密码中间有两次空格,没有冒号,切记。






6.通过分析发现,病毒作者还打算创建一个全屏的Activity活动界面来欺骗用户,无论用户是点击"解锁"还是"锁定"按钮,
用户的手机都会被锁屏,导致上面设置的锁屏密码生效,用户的手机进入锁屏状态,用户的手机被锁屏密码锁定不能正常使用。



7.该病毒不但会创建上面提到的全屏的Activity活动界面欺骗用户并且还会让用户在不知情的情况下,点击按钮访问网址





8.注册很多类型的静态广播如开机启动广播,接收器"tx.qq898507339.bzy9. .BootReceiver",意图启动服务"tx.qq898507339.bzy9.SmSserver",
该服务没什么好说的,就是创建不能响应触屏消息的顶层悬浮窗口,病毒作者的目的就是怕中了该敲诈者病毒的用户不知道找谁解锁,影响
自己的收入,特地一直显示3中提到的带有病毒作者QQ号的悬浮窗口。





9. 其实病毒作者已经在代码中留了解锁的方法,通过手机号"18258614534"发送短信到被该病毒锁定的用户手机上即可远程解锁用户被锁屏的手机;
尽管用户的手机被远程解锁,用户手机上的锁屏密码被清除,但是请记住,由于该病毒程序已经具有系统管理员权限,通过普通的程序卸载方法
卸载不掉,最好用手机助手类工具或者高权限的安卓程序,将该病毒Apk程序清除掉也可以在手机解锁以后,下载安装一个 设备管理器 软件,将该病毒Apk的获取的系统管理员权限去掉。






号外:

安卓性能激活类的Android敲诈者病毒也是比较典型的,最先接触的就是这种敲诈者病毒,手法都差不多。前面360技术博客也分析过这类Android病毒,
差不多但是还是有区别,360技术博客分析的该类病毒没有加壳处理,反编译的代码揣测的几次,除了锁屏解机的密码是一致的,其他的锁机行为和盗取用户信息的行为没有发现,希望对中了病毒的人有点帮助。梆梆加固脱壳后,分析加了注释的dex文件会给大家,分析有误差的地方请见谅,本人也是初学。

===================================================================================================================
用户手机解屏密码">>>qq
898507339 bzy>>>",但是千万要注意密码啊,解屏密码中间有两次空格,没有冒号,切记。
===================================================================================================================

样本下载地址:

Android敲诈者病毒“安卓性能激活”分析(2015年9月版)的更多相关文章

  1. Android最新敲诈者病毒分析及解锁

    一.情况简介 从去年开始PC端的敲诈者类病毒在不断的爆发,今年年初的时候手机上也开始出现了敲诈者之类的病毒,对这类病毒很无语也是趋势,因为很多时候病毒的产生是和金钱利益相关的.前天去吾爱破解论坛病毒样 ...

  2. Android最新敲诈者病毒分析及解锁(11月版)

    一.样本信息 文件名称:久秒名片赞,(无需积分s)(2)(1)(1).apk 文件大小:1497829字节 文件类型:application/jar 病毒类型:Android.CtLocker 样本包 ...

  3. CTB-Locker敲诈者病毒下载器分析

    一. 样本基本信息 样本名称:927354529512.scr 样本大小:110592 字节 病毒名称:Win32.Trojan.Ctb-locker.Auto 样本MD5值:3A6D7E551C13 ...

  4. Android木马病毒com.schemedroid的分析报告

    某安全公司移动病毒分析报告的面试题目,该病毒样本的代码量比较大,最大的分析障碍是该病毒样本的类名称和类方法名称以及类成员变量的名称被混淆为无法辨认的特殊字符,每个被分析的类中所有的字符串都被加密处理了 ...

  5. Android.KungFu手机病毒原理及清理方法

    原文链接:http://jingyan.baidu.com/article/363872ec8ad56b6e4ba16fb1.html Android.KungFu手机病毒清理方法 浏览:3333 | ...

  6. SQL SERVER 查询性能优化——分析事务与锁(五)

    SQL SERVER 查询性能优化——分析事务与锁(一) SQL SERVER 查询性能优化——分析事务与锁(二) SQL SERVER 查询性能优化——分析事务与锁(三) 上接SQL SERVER ...

  7. ArrayList和LinkedList的几种循环遍历方式及性能对比分析

    最新最准确内容建议直接访问原文:ArrayList和LinkedList的几种循环遍历方式及性能对比分析 主要介绍ArrayList和LinkedList这两种list的五种循环遍历方式,各种方式的性 ...

  8. 推荐 greenrobot eventbus,简化安卓开发,提高安卓维护性,优化安卓性能

    最近在研究移动开发,广泛的阅读有关cordova,apicloud,android资料.发现安卓的开发还是很简单的.再发现greenrobot eventbus开源框架不仅可以简化安卓开发,有可以大幅 ...

  9. Java 集合 ArrayList和LinkedList的几种循环遍历方式及性能对比分析 [ 转载 ]

    Java 集合 ArrayList和LinkedList的几种循环遍历方式及性能对比分析 @author Trinea 原文链接:http://www.trinea.cn/android/arrayl ...

随机推荐

  1. 使用python进行接口自动化测试,批量执行测试用例

    工作中,使用python的requests库进行接口自动化测试是一个比较不错的选择,今天就以某网站的免费接口为例,展示以get请求进行批量执行测试用例.话不多说直接开讲 分析一下接口信息, 请求地址: ...

  2. vscode动态调试

    前言: 关于vscode动态调试php项目其实在网上有文章,但那些文章或多或少都有些坑点或者转载他人,未经验证过,几度重装系统重新配置的时候在网上看文章配置总是有点问题,所以这次自己写了一篇文章,从头 ...

  3. C++高精度计算(大整数类)

    Java和Pathon可以不用往下看了 C++的基本数据类型中,范围最大的数据类型不同编译器不同,但是最大的整数范围只有[-2^63-2^63-1](对应8个字节所对应的二进制数大小).但是对于某些需 ...

  4. FreeBSD 13 显卡支持

    On FreeBSD 13, using drm-devel-kmod, support is the same as on Linux 5.4. This includes support for ...

  5. 局部莫兰指数的计算(运用ArcMap)

    做任务时需要运用到局部莫兰指数,卡在用Python计算的思路上好久,最后发现可以用ArcGIS进行处理,步骤简单易懂. 主要步骤为: 1.读入数据(一定要为shp文件),对于用ecognition直接 ...

  6. Servlet原理解析&使用指南

    Servlet(Server Applet)全称Java Servlet,是用Java编写的服务器端程序.广义上指任何实现了Server接口的类,主要功能在于交互式地浏览和生成数据,生成动态Web内容 ...

  7. 攻防世界 reverse 进阶 8-The_Maya_Society Hack.lu-2017

    8.The_Maya_Society Hack.lu-2017 在linux下将时间调整为2012-12-21,运行即可得到flag. 下面进行分析 1 signed __int64 __fastca ...

  8. 移动端调试vConsole

    当我们在进行移动端开发的时候,经常会出现在pc显示正常,在移动端却各种异常的情况.这时候我们在手机上又看不到error log. 所以我们就需要vConsole这样一个移动端开发神器. 那具体要怎么使 ...

  9. 通过lms.samples熟悉lms微服务框架的使用

    经过一段时间的开发与测试,终于发布了Lms框架的第一个正式版本(1.0.0版本),并给出了lms框架的样例项目lms.samples.本文通过对lms.samples的介绍,简述如何通过lms框架快速 ...

  10. ionic3+angular 倒计时效果

    // 声明变量 applicationInterval: any; // 定时器 nextBtnText: String; nextBtnBool: Boolean; // 使用定时器,每秒执行一次 ...