记一次安卓安装恶意软件

|
| 字数统计: 535

本文介绍了一种自动识别安卓平台下载并隐藏恶意apk包名的方法

事情的起因

因为要安装xposed edge pro,就在谷歌上搜索

在域名为hostapk_com(和谐掉了,防止误点击)

image-20220429105749339

点击下载结果什么都没有发生

今天打开短信,发现出现一堆垃圾短信

image-20220517201739758

而且还都是从我的手机主动发送出去的,顿时慌了,重启手机之后短信还在发

查看应用管理权限的信息权限,发现是下面这个陌生应用最近有访问信息

image-20220429110500879

用包名查看apk查看

image-20220517201757201

发现是昨天下载的

到文件存储查看apk,发现有3.0.1版本的xpose edge pro,才发现可能是昨天点击的xposed edge下载链接

查了一下话费

qq_pic_merged_1651202642042

大无语 (;´༎ຶД༎ຶ`),以后值敢在酷安下小软件了

apk文件上传

用包名查看将这个恶意apk提取出安装包

结果发现QQ、微信传上去后都下载不了,电脑点击之前那个恶意软件链接也无法下载,蓝牙也无法传送

百度云可以成功上传但是无法下载下来

压缩成原文件的压缩包再上传也不行

尝试使用landrop,结果landrop上传成功后直接崩溃了,崩溃错误显示无法打开文件

于是我想着用termux开个服务进行下载,上去ls发现文件名有异常

其中我之前在文件存储中将显示的.apk改成了hack.apk

qq_pic_merged_1651203545471

1
2
3
4
~/.../appshow/app $ ls *.apk|xxd
00000000: 6861 636b efbf b82e 6170 6b0a            hack....apk.
~/.../appshow/app $ echo "hack.apk"|xxd
00000000: 6861 636b 2e61 706b 0a                   hack.apk.

发现隐藏的字符

1
0x efbfb8

这个恶意apk软件下载网站很精明,用安卓可用而pc不可用文件名来命名文件,从而筛选操作系统

用termux改了文件名之后就可以成功上传

分析恶意apk

用jadx-gui直接反编译apk文件然后搜索https继续分析

找到一个接口

image-20220502152456842

这个就是自动发送短信的接口