一、样本信息

文件名称:久秒名片赞,(无需积分s)(2)(1)(1).apk
文件大小:1497829字节
文件类型:application/jar
病毒类型:Android.CtLocker
样本包名:android.support.v8
MD5: 8123AC1150B47EF53507EC2360164E3B
SHA1: 958B1E341C72DBCF52863C570B77C71A862987B1

Android敲诈者病毒样本来源于这位坛友http://www.52pojie.cn/thread-430284-1-1.html


二、行为分析

1.经过AndroidKiller工具反编译、查壳发现,该样本apk程序已经经过爱加密加固过了。但是也奇怪,碰到不少的Android敲诈者病毒从去年到现在,
基本都是经过爱加密加固加过壳处理。为了分析该敲诈者病毒,对样本进行脱壳处理.。



2.该敲诈者病毒样本的包名为android.support.v8主活动类为android.support.v7.q448870015。



3. 该敲诈者样本Apk被安装运行后,首先获取设备安全管理服务,判断当前主活动组件是否有系统管理员权限;
如果当前主活动组件有系统管理员权限,直接将用户的手机进行锁定。



4.如果当前主活动组件没有系统管理员权限,则创建新的Activity可视界面活动类android.app.action.ADD_DEVICE_ADMIN,
使用诱导性的提示语“请先激活设备管理器”,诱导用户激活设备管理器,用户点击“激活”,激活设备管理器获取系统管理员权限,
为用户的手机设置锁屏密码做准备。





5.对这个作者很无语,如果用户点击“激活”,激活了用户手机的设备管器,获取系统权限则该病毒apk程序会为用户的手机设置固定值的锁机密码,
经过解密后得到锁机密码为"4650";如果用户没有点击激活,则该样本apk会死循环调用显示设备激活管理器界面,直到用户点击激活导致手机被锁屏密码锁定为止。





6.该病毒的作者还设置了另外一组手机锁屏的密码,但是经过分析发现,用病毒作者的字符串解密代码解密出来的手机锁屏密码是空。



7.但是请注意,即使解锁了手机的锁屏密码,但是一旦用户的手机重启、手机的通话状态发生改变、手机的网络状态发生改变、屏幕横竖屏发生切换、
WIFI的状态发生改变等,用户的手机又会被全屏界面活动类锁定,不能正常使用。



8.由于该病毒apk程序,静态注册了上面截图中提到的很多广播;因此,一旦有这些广播发出,该apk程序就会高优先级的调用广播接收者"android.support.v7.BootBroadcastReceiver"。



9. 广播接收者"android.support.v7.BootBroadcastReceiver"则会启动全屏界面透明的活动类"android.support.v7.MainActivity",将用户的手机再次锁定,导致用户的手机不能正常使用并且还会播放一段音乐。





10.估计病毒作者业务做得太大了,需要将"薄荷心凉i"发送到病毒作者的手机13457484650上才知道是自己的那款Android敲诈者病毒将用户的手机锁机了。



11.经过分析发现,解锁用户手机锁定的密码是字符串"薄荷终究是心凉",思考分析了一下午,但是觉得解锁密码有些蹊跷。



12.这里要提到的是,手机的锁屏解密后,过一段时间0x3B9AC9FF时间单位后,11中提到的锁机密码会自动消失解机,但是用户等不到那个时间。



13.即使有幸手机没有被锁定,但是在用户手机屏幕上,创建顶层显示忽略界面屏幕装饰、不允许获得焦点的悬浮窗口,
导致用户的手机上总是有一个透明状的悬浮窗口,卸载病毒apk即可去掉该浮窗。






号外:

===================================================================================================================
锁屏密码有两个分析是 "" 和 "4650",后面的锁机密码是 "薄荷终究是心凉" ---但是貌似有点问题,就是输入的问题,一直没有搞清楚。
============================================================================================

Android最新敲诈者病毒分析及解锁(11月版)的更多相关文章

  1. Android最新敲诈者病毒分析及解锁

    一.情况简介 从去年开始PC端的敲诈者类病毒在不断的爆发,今年年初的时候手机上也开始出现了敲诈者之类的病毒,对这类病毒很无语也是趋势,因为很多时候病毒的产生是和金钱利益相关的.前天去吾爱破解论坛病毒样 ...

  2. Android最新锁屏病毒分析及解锁

    一.情况简介   从去年开始PC端的敲诈者类病毒在不断的爆发,今年年初的时候手机上也开始出现了敲诈者之类的病毒,对这类病毒很无语也是趋势,因为很多时候病毒的产生是和金钱利益相关的.前天去吾爱破解论坛病 ...

  3. Android敲诈者病毒“安卓性能激活”分析(2015年9月版)

    一.情况简介 前几天分析了论坛里的一个Android敲诈者病毒,感觉还是很有收获,后面有空多研究研究Android病毒.说句题外话, 根据前面分析的Android敲诈者病毒的隐藏手法,应该可以实现&q ...

  4. CTB-Locker敲诈者病毒下载器分析

    一. 样本基本信息 样本名称:927354529512.scr 样本大小:110592 字节 病毒名称:Win32.Trojan.Ctb-locker.Auto 样本MD5值:3A6D7E551C13 ...

  5. Android PopupWindow的使用和分析

    Android PopupWindow的使用和分析 PopupWindow使用 PopupWindow这个类用来实现一个弹出框,可以使用任意布局的View作为其内容,这个弹出框是悬浮在当前activi ...

  6. [FreeBuff]Trojan.Miner.gbq挖矿病毒分析报告

    Trojan.Miner.gbq挖矿病毒分析报告 https://www.freebuf.com/articles/network/196594.html 竟然还有端口转发... 这哥们.. 江民安全 ...

  7. Android:日常学习笔记(2)——分析第一个Android应用程序

    Android:日常学习笔记(2)——分析第一个Android应用程序 Android项目结构 整体目录结构分析 说明: 除了APP目录外,其他目录都是自动生成的.APP目录的下的内容才是我们的工作重 ...

  8. Android 最新学习资料收集

    收集这份资料的灵感来源于我的浏览器收藏夹快爆了,后来在github 上也看到了很优秀的开源库的收集资料,非常的好,但是太过于多,也不够新,所以决定自己来做一个.原始的markdowm文件已经放到git ...

  9. Android最新组件RecyclerView,替代ListView

    转载请注明出处:http://blog.csdn.net/allen315410/article/details/40379159 万众瞩目的android最新5.0版本号不久前已经正式公布了,对于我 ...

随机推荐

  1. DatePicker 多时间粒度选择器组件

    使用方法: 在.vue文件引入 import ruiDatePicker from '@/components/rattenking-dtpicker/rattenking-dtpicker.vue' ...

  2. Python基础之:Python中的流程控制

    目录 简介 while语句 if 语句 for语句 Break Continue pass 简介 流程控制无非就是if else之类的控制语句,今天我们来看一下Python中的流程控制会有什么不太一样 ...

  3. PTA甲级—常用技巧与算法

    散列 1078 Hashing (25 分) Quadratic probing (with positive increments only) is used to solve the collis ...

  4. strick-footer 粘边布局

    当网页缩小, 缩放到一定高度时(这个高度就是页面内容高度)footer的页尾自动消失,这个就叫做粘边布局 strick-footer 粘边布局基本思路: 主体{ height:100%; } 内容体{ ...

  5. 漏洞复现-2.x rce-Thinkphp远程命令执行

                0x00实验环境 攻击机:win10 靶机:Ubuntu18 (docker搭建的vulhub靶场) 0x01影响版本 影响Thinkphp 2.x的版本 0x02实验目的 学 ...

  6. ThinkAdmin v6 未授权列目录/任意文件读取复现

    大佬的审计文章:https://github.com/zoujingli/ThinkAdmin/issues/244 任意文件读取 POC curl http://127.0.0.1/admin.ht ...

  7. JVM笔记 -- JVM的生命周期介绍

    Github仓库地址:https://github.com/Damaer/JvmNote 文档地址:https://damaer.github.io/JvmNote/ JVM生命周期 启动 执行 退出 ...

  8. C# 基础 - 堆栈跟踪使用

    使用一:可用于捕获报错时. using System.Diagnostics; ... StackTrace st = new StackTrace(true); string stackIndent ...

  9. LNMP配置——Nginx配置 —— 默认虚拟主机

    一.配置 首先修改配置文件 #vi /usr/local/nginx/conf/nginx.conf 在最后一个结束符号}前加一行配置: include vhost/*.conf; 意思就是/usr/ ...

  10. Prometheus时序数据库-数据的查询

    Prometheus时序数据库-数据的查询 前言 在之前的博客里,笔者详细阐述了Prometheus数据的插入过程.但我们最常见的打交道的是数据的查询.Prometheus提供了强大的Promql来满 ...