黑客是如何監視你的手機的？

0×00前言

最近收到比較多的垃圾信息，想起了惡意軟體這種東西可能泄露信息，於是便寫下此文。

0×01實驗環境

基礎環境：win10，Android studio 3，jd-gui，apktool，dex2jar

應用 ：MyTimer(APP)， php網頁(接收信息)

虛擬機：

×02實驗準備

在ubuntu(192.168.159.128)伺服器上搭建好php環境，然後準備三個文件：newfile.txt（用來存儲接收到的信息），readinfo.php(用來展示接收到的信息)，receive.php(用來接收信息)。這裡使用的是虛擬機，實際中需要外網能訪問的伺服器，這樣手機應用才能正常連接到伺服器。

readinfo.php

receive.php

×03實驗步驟

在模擬器中安裝並啟動MyTimer(此時伺服器上的newfile.txt文件為空)，從功能上看這只是一個計時器。如下圖所示

我們在最上面的輸入框中輸入時間，點擊「設置時間」按鈕，會在下面顯示到計時的時間。如下圖所示

當我們點擊「開始計時」按鈕時，應用開始倒計時，如下圖所示：

在使用此應用時，我們並未發現什麼異常情況，現在我們把視角切換到ubuntu伺服器上，這個時候就會發現newfile.txt中多出了一些內容，然後我們訪問readinfo.php，就可以看到手機上的聯繫人信息

×03原理剖析與軟體實現

一、原理剖析

通常我們要分析一個應用是否有惡意功能，可以進行以下幾步操作：

0、使用apktool得到AdroidManifest.xml，使用dex2jar得到應用源碼

1、審查應用程序使用的許可權

通過查看我們發現這個應用申請了網路訪問許可權，聯繫人讀寫許可權，訪問帳戶列表許可權，但是我們從應用的功能來看明顯是不需要這幾個功能的，列入嫌疑名單，開始下一步審查。

2、審查應用程序使用的進程間通信機制

這裡我們只發現了一個調用主Activity的機制，本步檢查安全。

3、分析源碼中開放的埠、共享/傳輸的數據，以及網路連接

通過分析源碼，我們發現代碼里有一段發起了網路請求，應用程序在向一個IP為192.168.159.128地址發送信息

繼續閱讀源碼，我們發現代碼里有讀取聯繫人的操作，同時將讀取結果拼接到URL參數中向遠程伺服器發送。

綜合分析可以發現，本應用程序在運行時，當用戶點擊設置時間按鈕時會讀取用戶通訊錄聯繫人並通過網路方式發送給遠程伺服器，可以定義為木馬程序。

二、軟體實現

上面是當遇到一個APP時的審查操作，為了更加深入的了解惡意軟體的工作原理，此處我們編寫一個簡單惡意APP(也就是上面我們分析的APP)，僅讀取聯繫人信息。在實際中黑客可以會讀取簡訊，讀取位置信息跟蹤定位一個人等。

MainActivity主要內容

在AndroidManifest.xml添加如下配置

Avtivity_main.xml布局文件

×05 寫在最後

上面的程序只是演示了讀取並發送聯繫人，黑客往往還會讀取位置信息，讀取簡訊，讀取瀏覽器歷史信息等。所以大家平時在安裝APP時需要謹慎，在授予許可權時也應該遵循最小許可權原則，能不給的許可權就不給。希望此文能幫助大家更好的理解惡意軟體工作原理，幫助大家更好的防範惡意軟體，相信大家也都是遵紀守法的好公民，學習只是為了防身，嗯。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！