收藏
下载资源

Android恶意代码a.remote.droiddg.a综合分析报告

上传人:ji****72 文档编号:45934827 上传时间:2018-06-20 格式:PDF 页数:10 大小:903.39KB
返回 下载 相关 举报
Android恶意代码a.remote.droiddg.a综合分析报告_第1页
第1页 / 共10页
Android恶意代码a.remote.droiddg.a综合分析报告_第2页
第2页 / 共10页
Android恶意代码a.remote.droiddg.a综合分析报告_第3页
第3页 / 共10页
Android恶意代码a.remote.droiddg.a综合分析报告_第4页
第4页 / 共10页
Android恶意代码a.remote.droiddg.a综合分析报告_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《Android恶意代码a.remote.droiddg.a综合分析报告》由会员分享,可在线阅读,更多相关《Android恶意代码a.remote.droiddg.a综合分析报告(10页珍藏版)》请在金锄头文库上搜索。

1、 Android 恶意代码恶意代码 a.remote.droiddg.a 综合分析报告综合分析报告 安天实验室安天实验室 版权所有版权所有 第第 1 页页 / 共共 10 页页 Android 恶意代码恶意代码 a.remote.droiddg.a 综合分析报告综合分析报告 安天实验室安天实验室 文档信息文档信息 作者作者 安天实验室 发布日期发布日期 2011/12/07 背景介绍背景介绍 本报告是对 Android恶意代码 a.remote.droiddg.a的分析。 版权说明版权说明 本文版权属于安天实验室所有。 本着开放共同进步的原则, 允许以非商业用途使用自由转载。转载时需注明文章版

2、权、出处及链接,并保证文章完整性。 以商业用途使用本文的, 请联系安天实验室另做授权。联系邮箱: 。 Android 恶意代码恶意代码 a.remote.droiddg.a 综合分析报告综合分析报告 安天实验室安天实验室 版权所有版权所有 第第 2 页页 / 共共 10 页页 Android 恶意代码恶意代码 a.remote.droiddg.a 综合分析报告综合分析报告 安天实验室 修订历史修订历史 2011年 12月 6日 完成 1.0版 2011年 12月 7日 完成 1.1版,新增第 6 章“传播和获利关系” 一、 事件背景 2011 年 6 月,安天实验室发现预装入第三方定制 ROM

3、 的 Android 恶意代码 a.remote.droiddg.a(以下 简称为“Droiddg” ) 。该恶意代码以系统权限运行,联网下载大量其他软件,安装至用户手机。部分下载的 软件以系统权限安装,用户无法删除。 该样本通常伪装成名为“Google搜索(已增强) ”的软件(图 1) ,通过隐蔽地收发短信,消耗用户手 机费用;其下载安装应用程序的行为还会消耗用户网络流量和设备的硬件资源,给用户带来较大的危害。 图图 1 Droiddg 通常伪装成通常伪装成 Google 搜索软件搜索软件 2011年下半年, 安天在北京中关村地区电子市场展开以移动设备用户体验和终端安全性为主题的调查。 同年

4、 11月,我们在多个 HTC Flyer 平板电脑的预装 ROM中再次发现 Droiddg恶意代码的痕迹。 Android 恶意代码恶意代码 a.remote.droiddg.a 综合分析报告综合分析报告 安天实验室安天实验室 版权所有版权所有 第第 3 页页 / 共共 10 页页 图图 2 感染了感染了 Droiddg 的的 HTC Flyer 平板电脑平板电脑 这些平板电脑中预装的系统是攻击者基于国内某 Android论坛提供的 ROM植入该恶意代码而成。 图图 3 存在恶意代码的系统版本信息存在恶意代码的系统版本信息 因此,在 2011年 11月,我们对该恶意代码进行了细粒度的动态分析;

5、并形成 URL检测特征,更新到 VDS前端流量探针设备中,目前已经捕获到一批相关的网络数据。 二、 静态分析 该样本中包含以下的明文 URL: http:/ http:/ http:/ http:/ Android 恶意代码恶意代码 a.remote.droiddg.a 综合分析报告综合分析报告 安天实验室安天实验室 版权所有版权所有 第第 4 页页 / 共共 10 页页 http:/:8513 其中,的域名注册于 2011年 6 月 2日,IP 地址是 222.76.213.170,位于福建省厦门 市。 目前访问第二个 URL, 即 http:/ 可以得到如下数据: com.ijinshan

6、.mguard;com.Qunar;com.ijinshan.mguard;com.Qunar;com.ijinshan.mguard;com.Qunar;com.ijinshan.mguard;com.Qunar;com.ijinshan.mguard;com.Qunar;com.ijinshan.mguard;com.Qunar;com.ijinshan.mguard;com.Qunar 这些数据中包括国内某反病毒厂商为 Android 平台提供的反病毒与安全防护软件的模块名 com.ijinshan.mguard,结合 URL 中路径名 remove,猜测样本从该 URL 获得数据,然后

7、停止并卸载相应的 杀毒软件。此外,这些数据中还包括另一知名网站的 Java软件包分发前缀 com.Qunar,猜测样本还为合作 者提供清除这些网站相关软件的服务。 在今年 9 月安天分析的该恶意代码的一个变种 a.systerm.ireceiver.a 中, 存在卸载另一厂商 Android反病 毒软件的代码(图 4) 。 图图 4 样本卸载反病毒软件样本卸载反病毒软件 另一方面,样本包含的最后一个明文 URL,即 :8513,是中国移动的手机游戏门 户网站,其 IP 地址 112.4.3.29位于江苏省南京市。 三、 动态分析 该样本使用 ProGuard1对代码进行了混淆,静态分析代码逻辑

8、难度较大。为了捕获样本的动态行为, 安天实验室开发了 Android 动态镜像分析工具(ADL) ,能对敏感行为进行细粒度记录。在该系统辅助下, 发现样本具有下列行为。 样本运行后,设置定时器,定时器到期时,将触发下列行为: 从第一组 10个手机号中随机挑选两个,向这两个号码各发送一条短信,短信内容相同 从第二组 32个手机号中随机挑选四个,向这四个号码各发送一条短信,短信内容相同 向一个 URL发起 HTTP GET请求 两组手机号共 42个,均加密后保存在软件的数据中。 1 ProGuard 是一个压缩、优化和混淆 Java 字节码文件的免费的工具,它可以删除无用的类、字段、方法和属性。

9、Android 恶意代码恶意代码 a.remote.droiddg.a 综合分析报告综合分析报告 安天实验室安天实验室 版权所有版权所有 第第 5 页页 / 共共 10 页页 我们对这些号码进行了进一步查验。在 2011年 11月 30日,大部分号码可以直接拨通,但手工向其发 送短信后,无法收到确认回执。一般而言,手机在接收到短信后会向基站传回一个确认,在打开相关设置 后,发送者可以知道短信是否送达。但这批电话号码中,大部分可以打通但发送短信后显示接收失败,即 接收设备没有像普通手机一样向基站发回接收确认。我们猜测攻击者并不是使用普通的手机,而是采用了 专门的 SIM 卡通信设备批量接收短信,

10、并自动化处理其中的数据。 发送后的短信并不存在于手机的短信记录中,用户无法察觉。我们在 ADL中捕获到这一行为,并记 录下短信内容(图 5) 。 图图 5 ADL 记录下样本向外发送短信的行为记录下样本向外发送短信的行为 短信内容为 BASE64 编码,解码后无法看出具体字段含义。恶意代码中相关代码已经经过模糊处理, 较难还原其具体目的。 在发送完短信后,样本发出的 HTTP GET请求的 URL地址为: http:/222.76.208.142:1001/RequestAllXmlInfo.aspx 该 IP 地址没有经过 DNS解析,被直接硬编码在恶意代码中并加密。需要注意的是,该 IP

11、地址正是前 面所述 的 IP 地址。 图图 6 ADL 记录下样本发送记录下样本发送 HTTP GET 请求的行为请求的行为 除了上述行为,通过动态分析,样本在运行期间对下列数据进行了 AES加密: 404&5005&548005&357242043237517&Dalvik 404&5000&660511&357242043237517&Dalvik SN=8939832894&IMEI=357242043237517&VER=4.0.4&MobType=GT-I9000&IMSI=310005123456789&INTERVAL=1440&nxstart=1440&CID=5000&PID

12、=5381&FID=660511&MB=&SMSC=89014103211118510720 其中包含了设备的IMEI和IMSI信息等。 加密密钥为: 15, -108, 103, 79, -83, 64, -120, -63, 42, 38, 16, -25, 64, -59, -42, -113。 样本生成了一个所谓的 GUID,并保存在本地文件中: 15555215554 c2cacacacacbc2cacacac1dfcccacdcbc1cbc8c1cccbcccdcac2cddf11020fd00305b9c2b4c2b4c8b8b71f0304dad7c5b8aac5b812040

13、1db090301b8cbb4c2b6dad80102d10ac2c5b81da1b613c3c8c8c8b81bda030f01b91aa81acac11bb3dfc2cccbcbcdcac2ccccc8c0cbca 从静态分析结果来看,该 GUID 可以作为设备的唯一标识。 四、 网络检测结果 根据上述动态和静态分析结果,我们在 VDS 前端流量探针设备上增加了多项的检测特征,现将统计 结果说明如下。 需要特别说明的是,目前 VDS 前端流量探针部署在传统互联网上,而该样本的大量行为一般是通过 移动互联网进行的。下面的数据只是样本真实传播情况在一个狭窄范围的表现。而我们估计在整个移动互 联

14、网,能检测到的样本行为,以及能关联到的受感染设备,将大大超出下面给出的数目。 4.1 相关数据相关数据 项目项目 记录总数记录总数 日均记录数日均记录数 7439 732 9004 886 2763 272 0 0 合计合计 19210 1890 表表 1 网络检测结果统计一(网络检测结果统计一(2011.11.24 19:00 2011.12.04 23:00) 如上表所示, 我们提取了 10天的数据, 其中发现对该子域名的 19210条访问记录, 日均访问量达 1890 次。 这些记录共涉及源 IP 地址 784个。此外,其 URI2中包含一个 GUID 字段(见上节最后的说明) ,不同 的 GUID 共计 7093个,基本可以认为在这段时间内我们发现的感染了该恶意代码的设备数量达 7093个。 此外,从 2011年 12月 02日 21时,至 2011年 12月 04日 23时,共捕获对 222.76.208.142:1001的直 接访问 17次,其中不同的源 IP 地址 9个。该 IP 地址与 的 IP 地址相同。 4.2 相关数据相关数据 从 2011年 11月 24日 19时至 2011年 12

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号