查看原文
其他

Android 木马

计算机与网络安全 计算机与网络安全 2022-06-01

一次性进群,长期免费索取教程,没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号:微信群;QQ群:460500587



微信公众号:计算机与网络安全

ID:Computer-network

随着安卓系统的迅猛普及,一时间各式各样的设备都承载着安卓系统,手机、平板、机顶盒等都忠实地成为了安卓系统的用户。由于安卓系统在移动设备上的使用率最高,而移动设备上存储的数据往往涉及到个人隐私,如手机通讯录、短信内容、拍摄照片、阅读书目、保存文档等,有时更会涉及到经济利益,这诱惑着一些利益集团开始制作基于安卓系统的远程控制程序,即安卓系统木马


首个安卓系统木马应属2010年出现的“Trojan-SMS.AndroidOS.FakePlayer.a”,这是一个以扣取用户手机话费为目的的盈利性安卓系统木马。随着需要的发展,单纯的盈利性木马已经不是重点,用户的隐私数据才是核心,尤其是具有用户行为监视性的木马最受关注。所谓“用户行为监视性的木马”就是指该类安卓木马能够监视用户的所在、所说、所做。


随着智能手机的普及,移动互联网已然成为了生活中不可缺少的一部分。在巨大利益的驱使下,手机病毒黑色产业链便慢慢出现了。手机病毒的目的非常简单,即是通过获取用户隐私来牟利。


大多数手机病毒都有共同的特性:窃取用户信息并悄悄向增值服务号码发送短信,自启动以及高隐蔽性。


前两年出现了一种被称为“Backdoor.AndroidOS.Obad.a”的极具代表性的Android木马,如图1所示。该木马利用了当时“Android操作系统此前位置的漏洞来提升程序的权限,并且能够阻止被卸载”。到底为什么这个木马如此强大呢,于是手机安全专家们就对其展开了深度剖析。

图1  安装界面

(1)这款木马的代码隐蔽性非常高,代码也比普通木马的代码复杂烦琐得多。显然,复杂的代码并不是这款木马唯一神奇的地方。

(2)Odab.a的AndroidManifest.xml文件也非常精妙,木马作者在对Android的漏洞挖掘及利用之后,使用了非谷歌标准的AndroidManifest.xml文件(见图2),并使其能够正常被智能手机运行。

图2  AndroidManifest.xml文件

(3)该木马通过对指令代码进行特殊处理,从而阻止反编译。该木马除了对代码进行加密处理以外,还通过对指令代码进行特殊处理,使得安全公司常用的Java反编译工具(见图3)无法正确地反编译其指令,增加了对木马的分析难度。

图3  Java反编译工具

(4)此木马无法被删除。Android系统从2.2版本开始,提供了一个“设备管理器”的功能,其初衷是为企业部署远程IT控制使用,为了防止员工私自卸载企业安装的“设备管理器”,一旦激活设备管理器之后,该设备管理器就不可删除(见图4)。但是,由于Android系统对此功能设计得不完善,使得木马可以利用这个机制,让自己注册成为一个设备管理器,从而阻止用户卸载。

图4  激活界面

(5)一旦用户不慎“激活”木马,它就被注册成了设备管理器,此时该木马的“强行停止”和“卸载”按钮将完全失效,即木马无法关闭且无法卸载。另外由于设备管理器的权限以及木马自身使用非标准的手段来注册设备管理器,所以即使Android让它注册成功了,它也不会在设备管理器列表中显示,用户因此找不到取消注册设备管理器的入口,便无法取消此木马的权限,如图5所示。

图5  木马注册后,设备管理器显示“没有可供显示的设备管理器”

通过以上分析发现,如果用户在最开始不给予木马权限的话,那么它就不会造成很大的危害,所以,良好的手机使用习惯是自己不“中招”的最重要的环节,建议:


不要随便安装来源不可靠的软件;

不要随便给予不可靠软件设备权限;

习惯性地检查手机文件,看看有没有可疑文件;

安装软件之前,仔细查看该软件需要哪些权限并且是否确实需要这些权限才能运行APP完整功能。


下面,附上安卓短信发送代码:

安卓的短信都是按广播的形式处理,所以只需要对广播进行监听就可以,当BroadcastReceiver优先级大于其他的BroadcastReceiver的优先级的时候,便可以使用abortBroadcast()来将此广播拦截,使其他APP无法接收到此广播。

本文分析了一个安卓病毒实例,随着移动手机的普及,手机病毒成为未来病毒发展的重要趋势,加上大多数人对移动设备病毒的防御意识薄弱,更让恶意黑客有机可乘。要防御病毒的攻击,就要求储备更多的安全知识。

微信公众号:计算机与网络安全

ID:Computer-network

【推荐书籍】

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存