盜取銀行卡信息
應用安裝需要服務
靜態分析行為操作
android.permission.SEND_SMS使用發送簡訊功能
android.permission.READ_LOGS使用讀取系統日誌功能
android.permission.INJECT_EVENTS使用按鍵事件控制功能
android.permission.WAKE_LOCK使用了鎖屏喚醒功能
android.permission.GET_TASKS使用了獲取系統近期使用的任務
android.permission.WRITE_SETTINGS使用了系統設置修改功能
android.permission.RECEIVE_SMS使用了收簡訊功能
android.permission.READ_CONTACTS使用了讀取簡訊功能
android.permission.RESTART_PACKAGES使用了重新啟動進程功能
文件操作
讀寫了sqlite資料庫
/data/data/langthing.nend/files/unhi.db
資料庫查詢操作
query_fuc:query SQLite data!:url:content://sms/:selection:null:selectionArgs: //查詢了unhi.db sqlite數據的簡訊息記錄
query_fuc:read messages!:url:content://sms/:selection:null:selectionArgs: //查詢了系統簡訊箱
發送簡訊息
分析過程一、程序安裝成功後,無快捷方式,無圖標,無界面,無法手動啟動該app程序。程序啟動後首先檢查系統服務,並添加到android設備管理器,從而達到無法卸載的目的。以 "------ android------" 的名義添加設備管理器,可以防止程序被卸載
要求激活,目的是添加設備管理器。
該木馬激活之前是可以進行卸載的激活前:
激活後:
二、鎖屏狀態下可以喚醒手機,迅速耗電,達到最快速度重啟系統的目的。
提示「your tag」,應該是喚醒服務有關係,
三、啟動方式為開機啟動
四、枚舉系統服務枚舉系統服務,應用名稱,一旦發現銀行客戶端將重啟它server.class獲取當前的系統運行的activity 和 service
五、重啟銀行客戶端
應用安裝需要服務
langthing.nend.TReceiver intent-filteraction:android.intent.action.BOOT_COMPLETED處理開機啟動
langthing.nend.ShutdownReceiver intent-filter action:android.intent.action.ACTION_SHUTDOWN處理系統被關閉
靜態分析行為操作
android.permission.SEND_SMS使用發送簡訊功能
[Java]純文本查看複製代碼
?
android.permission.READ_LOGS使用讀取系統日誌功能
[Java]純文本查看複製代碼
?
android.permission.INJECT_EVENTS使用按鍵事件控制功能
[Java]純文本查看複製代碼
?
android.permission.WAKE_LOCK使用了鎖屏喚醒功能
[Java]純文本查看複製代碼
?
android.permission.GET_TASKS使用了獲取系統近期使用的任務
[Java]純文本查看複製代碼
?
android.permission.WRITE_SETTINGS使用了系統設置修改功能
[Java]純文本查看複製代碼
?
android.permission.RECEIVE_SMS使用了收簡訊功能
[Java]純文本查看複製代碼
?
android.permission.READ_CONTACTS使用了讀取簡訊功能
[Java]純文本查看複製代碼
?
android.permission.RESTART_PACKAGES使用了重新啟動進程功能
[Java]純文本查看複製代碼
?
文件操作
讀寫了sqlite資料庫
/data/data/langthing.nend/files/unhi.db
資料庫查詢操作
query_fuc:query SQLite data!:url:content://sms/:selection:null:selectionArgs: //查詢了unhi.db sqlite數據的簡訊息記錄
query_fuc:read messages!:url:content://sms/:selection:null:selectionArgs: //查詢了系統簡訊箱
發送簡訊息
[Java]純文本查看複製代碼
?
分析過程一、程序安裝成功後,無快捷方式,無圖標,無界面,無法手動啟動該app程序。程序啟動後首先檢查系統服務,並添加到android設備管理器,從而達到無法卸載的目的。以 "------ android------" 的名義添加設備管理器,可以防止程序被卸載
要求激活,目的是添加設備管理器。
該木馬激活之前是可以進行卸載的激活前:
激活後:
二、鎖屏狀態下可以喚醒手機,迅速耗電,達到最快速度重啟系統的目的。
提示「your tag」,應該是喚醒服務有關係,
三、啟動方式為開機啟動
四、枚舉系統服務枚舉系統服務,應用名稱,一旦發現銀行客戶端將重啟它server.class獲取當前的系統運行的activity 和 service
五、重啟銀行客戶端
涉及到的銀行客戶端
六、當應用監測到有銀行的客戶端在運行時執行restartPackage,來達到替換工行客戶端,顯示木馬作者精心構造的釣魚頁面(Activity)需要root許可權。
這是gs.class 釣魚頁面源碼釣魚頁面的activity處理方法:下面例子是修改後的為工商銀行客戶端精心構造的釣魚頁面
?
TAG:懷念回不到從前 |