Android最新敲诈者病毒分析及解锁(11月版)

2015年11月20日 207点热度 0人点赞 0条评论

一、样本信息

文件名称:久秒名片赞,(无需积分s)(2)(1)(1).apk

文件大小:1497829字节

文件类型:application/jar

病毒类型:Android.CtLocker

样本包名:android.support.v8

MD5: 8123AC1150B47EF53507EC2360164E3B

SHA1: 958B1E341C72DBCF52863C570B77C71A862987B1


Android敲诈者病毒样本来源于这位坛友http://www.52pojie.cn/thread-430284-1-1.html


二、行为分析


1.经过AndroidKiller工具反编译、查壳发现,该样本apk程序已经经过爱加密加固过了。但是也奇怪,碰到不少的Android敲诈者病毒从去年到现在,

基本都是经过爱加密加固加过壳处理。为了分析该敲诈者病毒,对样本进行脱壳处理.。


图片


2.该敲诈者病毒样本的包名为android.support.v8主活动类为android.support.v7.q448870015。


图片


3. 该敲诈者样本Apk被安装运行后,首先获取设备安全管理服务,判断当前主活动组件是否有系统管理员权限;

如果当前主活动组件有系统管理员权限,直接将用户的手机进行锁定。


图片


4.如果当前主活动组件没有系统管理员权限,则创建新的Activity可视界面活动类android.app.action.ADD_DEVICE_ADMIN

使用诱导性的提示语“请先激活设备管理器”,诱导用户激活设备管理器,用户点击“激活”,激活设备管理器获取系统管理员权限,

为用户的手机设置锁屏密码做准备。


图片


图片


5.对这个作者很无语,如果用户点击“激活”,激活了用户手机的设备管器,获取系统权限则该病毒apk程序会为用户的手机设置固定值的锁机密码,

经过解密后得到锁机密码为"4650";如果用户没有点击激活,则该样本apk会死循环调用显示设备激活管理器界面,直到用户点击激活导致手机被锁屏密码锁定为止。


图片


图片


6.该病毒的作者还设置了另外一组手机锁屏的密码,但是经过分析发现,用病毒作者的字符串解密代码解密出来的手机锁屏密码是


图片


7.但是请注意,即使解锁了手机的锁屏密码,但是一旦用户的手机重启、手机的通话状态发生改变、手机的网络状态发生改变、屏幕横竖屏发生切换、

WIFI的状态发生改变等,用户的手机又会被全屏界面活动类锁定,不能正常使用。


图片


8.由于该病毒apk程序,静态注册了上面截图中提到的很多广播;因此,一旦有这些广播发出,该apk程序就会高优先级的调用广播接收者"android.support.v7.BootBroadcastReceiver"。


图片


9. 广播接收者"android.support.v7.BootBroadcastReceiver"则会启动全屏界面透明的活动类"android.support.v7.MainActivity",将用户的手机再次锁定,导致用户的手机不能正常使用并且还会播放一段音乐。


图片


图片


10.估计病毒作者业务做得太大了,需要将"薄荷心凉i"发送到病毒作者的手机13457484650上才知道是自己的那款Android敲诈者病毒将用户的手机锁机了。

图片


11.经过分析发现,解锁用户手机锁定的密码是字符串"薄荷终究是心凉",思考分析了一下午,但是觉得解锁密码有些蹊跷。


图片


12.这里要提到的是,手机的锁屏解密后,过一段时间0x3B9AC9FF时间单位后,11中提到的锁机密码会自动消失解机,但是用户等不到那个时间。


图片


13.即使有幸手机没有被锁定,但是在用户手机屏幕上,创建顶层显示忽略界面屏幕装饰、不允许获得焦点的悬浮窗口,

导致用户的手机上总是有一个透明状的悬浮窗口,卸载病毒apk即可去掉该浮窗。


图片


图片



号外:

不浪费时间了,关于密码的事情的正确性就留给大家去确认了,脱壳后的dex文件留给大家去分析。很奇怪,这位坛友http://www.52pojie.cn/thread-430284-1-1.html 提供的病毒样本

和这位坛友http://www.52pojie.cn/thread-434644-1-1.html 提供的病毒样本的MD值是一样的,应该是同一个病毒也希望大家参与进来破解锁机密码,精力有限。

=================================

锁屏密码和锁机密码在上面的报告中找,但是第3个锁机密码的问题,想的不是很明白。

锁屏密码有两个分析是 """4650",后面的锁机密码是 "薄荷终究是心凉" ---但是貌似有点问题,大家一起讨论下。。

=================================


附件中是脱壳后的样本dex文件和报告的PDF格式,论坛的图片显示不是很清楚,下载请参看论坛原帖。


--官方论坛

www.52pojie.cn

--推荐给朋友

公众微信号:吾爱破解论坛

或搜微信号:pojie_52

图片

33560Android最新敲诈者病毒分析及解锁(11月版)

这个人很懒,什么都没留下

文章评论