蝗虫手机木马分析报告

一、主包分析

包名：com.example.xxshenqi

应用名：XX神器

MD5：5956C29CE2E17F49A71AC8526DD9CDE3

主要恶意行为：遍历联系人后群发短信，使恶意木马再次扩散传播；伪造钓鱼页面，诱骗用户注册填写个人信息，导致隐私泄露；安装恶意子包。

权限：

程序入口

点击应用图标启动

遍历手机中的通讯录，获得联系人姓名及号码，并向这些号码发送内容为“【联系人】看这个http://cdn.yyupload.com/down/4279193/XXshenqi.apk”的短信。

短信发送完成后，向指定号码发送内容为“XXshenqi 群发链接OK”的短信。

注册接收“android.intent.action.PACKAGE_ADDED”广播的receiver，用于检测子包是否安装。

检测子包是否已经安装，如果没有安装，则将子包apk从主包的assets目录中释放到/data/data/com.example.xxshenqi/files，以便下一步安装。

显示提示框，引导用户安装子包。

子包安装后会，系统会发出“android.intent.action.PACKAGE_ADDED”广播，这个广播会被之前注册的receiver接收到。

收到广播后，会启动已安装的子包，并向指定号码发送内容为“new Tro instanll Ok”的短信。

进入程序的主界面

登录页面的处理：

1. 检查是否安装了子包，如果没有安装子包则弹框引导用户安装。
2. 检查网络是否通畅，如果网络异常则提示用户检查网络。
3. 密码大于等于6位会提示“正在验证，请稍候”，“密码或账号不存在！”
4. 其他情况下提示“请输入正确的账号或密码”

账户永远不可能登录成功！

点击注册功能，显示一个钓鱼页面，诱导用户输入个人信息。

注册程序对用户输入的身份证号码做了一些简单的校验，例如：年份在1980至1996之间、月份的十位小于个位、日期在1至31之间、不符合条件的身份证号码不能通过验证。最后将获得个人信息（姓名和身份证号码）以短信形式发送至指定号码，并提示用户注册成功。

至此，主包功能结束

二、子包分析

包名：com.example.com.android.trogoogle

应用名：com.android.Trogoogle

MD5：b0dea6906329c47edbecd48adc15a996

主要恶意行为：启动后隐藏图标、通过短信指令控制，可实现窃取用户收到的短信信息、发送的短信信息、联系人信息、伪造和删除短信。

恶意子包在第一次启动后图标消失，之后的触发可以通过短信接收广播和开机自启广告启动，

通过开机自启动后，会直接进入SEND查询模式，随后进入RECV查询模式，当接受到短信时进入RECV查询模式。

SEND查询模式

进入SEND模式后直接将用户后续会发送的短信内容，通过短信的方式转发到指定号码。

RECV查询模式

进入RECV模式后，恶意子包接收短信指令，窃取用户短信信息，联系人信息，以及伪造短信。

对中招手机发送sendlink命令，会将联系人信息通过邮件的方式转发到指定邮箱。

对中招手机发送readmessage命令，把手机中所有的短信通过邮件的方式转发到指定邮箱。

通过邮件将联系人或短信发送到指定邮箱。

对中招手机发送sendmessage命令，会将后续收到的短信通过短信的方式转发到指定号码。

会对非11位的发件号码做特殊处理，如果中招手机接收到的短信的发送号码不是11位，木马作者认为可能是淘宝信息，在转发短信的同时，特别注释为“特殊消息”

对中招手机发送makemessage命令，接受到指令后会伪造短信信息。

三、解决方案

目前，360手机卫士可对蝗虫木马进行精准查杀。

下载地址：http://shouji.360.cn

蝗虫手机木马分析报告,,5-wow.com