本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.csdn.net/jiazhijun/article/details/8627309
作者:Jack_Jia 邮箱:[email protected]
一、病毒样本基本信息
Md5:c5a2d14bc52f109a06641c1f15e90985
Package:smart.apps.droidcleaner
二、病毒代码分析
1、查看AndroidMainfest.xml文件。
通过配置文件可以看出,该程序有两个启动入口点,.BootCompletedReceiver和.DroidClean
恶意代码树如下图所示:
BootCompletedReceiver代码如下:
DroidClean代码如下:
下面开始分析ConnectorService服务代码。
ConnectorService部分代码如下:
通过代码可以看出ConnectorService启动后,Socket请求服务器获取指令,根据服务器端返回指令,该恶意程序能够完成以下恶意行为:
1、发送特定短信
2、打开wifi连接
3、获取设备信息
4、通过浏览器访问特定网页
5、上传SD卡内容到服务器
6、上传所有短信息
7、删除所有短信息
8、上传所有联系人信息、照片和位置信息到服务器
该Android病毒是第一个能够攻击PC的木马,当手机设备连接电脑后,该病毒会从服务器下载PC病毒(Backdoor.MSIL.Ssucl.a.)到SD卡,当下次手机以USB模式连接电脑后,该PC病毒就会开始发作。
感染PC代码如下:
三、相关链接
http://www.securelist.com/en/blog/805/Mobile_attacks
http://sec.chinabyte.com/284/12539784.shtml