1．样本概况

1.1 样本信息

样本名称：免流服务器.apk

所属家族：Android锁屏勒索软件

MD5值：2efca46f34a565c2ef4052b89b6b364b

包名：zs.ip.proxy

入口：MainActivity

最低运行环境：Android 2.2.x

敏感权限：             

1.2 测试环境及工具

夜神虚拟机 JEB AndroidKiller  ApkToolBox 哈勃分析

2．具体行为分析

2.1 主要行为

获取root权限、锁机

 

2.1.1 恶意程序对用户造成的危害(图)

2.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件

android.permission.INTERNET                   //访问网络连接，可能产生GPRS流量

android.permission.MOUNT_UNMOUNT_FILESYSTEMS   //挂载、反挂载外部文件系统

android.permission.WRITE_EXTERNAL_STORAGE      //允许程序写入外部存储，如SD卡上写文件

android.permission.READ_EXTERNAL_STORAGE       //读取SD卡文件

 

释放的apk病毒文件注册的组件

android.permission.SYSTEM_ALERT_WINDOW        //让窗口显示在其他所有程序的顶层

android.permission.RECEIVE_BOOT_COMPLETED     //监听事件启动自身

android.permission.SEND_SMS                   //允许程序发送SMS短信

2.2 恶意代码分析

2.1 加固后的恶意代码树结构图(是否有加固)

无加固

 

2.2 恶意程序的代码分析片段

进入APK入口的onCreate函数, 释放一个文件stk3.apk到/storage/sdcard0目录下

 

分析az函数

用AndroidKiller将stk3.apk提取出来继续分析

 

 找到服务的onCreate函数

解锁比较函数onStartCommand函数，找到 密码：TFB4

3．解决方案(或总结)

3.1 提取病毒的特征，利用杀毒软件查杀

免流服务器 特征码字符串：

/storage/sdcard0/stk3.apk

\u6838\u5FC3\u6587\u4EF6\u5B89\u88C5\u9519\u8BEF\uFF01\u8BF7\u786E\u8BA4\u624B\u673A\u662F\u5426\u5DF2\u7ECFroot\uFF01   //核心文件安装错误！请确认手机是否已经root！

zs.ip.proxy.MainActivity

 

stk3.apk特征码字符串：

手机号码："18277506826"

"\u60f3\u5fc5\u4e00\u5b9a\u662f\u4eba\u6e23\u4e2d\u7684\u6781\u54c1\uff0c\u79bd\u517d\u4e2d\u7684\u79bd\u517d.\u770b\u770b\u554a\uff0c\u4f60\u8fd9\u5c0f\u8138\u7626\u5f97\uff0c\u90fd\u6ca1\u4e2a\u732a\u6837\u5566\uff01"

//脏话

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

用adb连接到手机

1.删除/system/app/stk3.apk

2.删除/storage/sdcard0/stk3.apk

3.重启然后卸载免流服务器

样本地址 ： http://download.****.net/detail/c_cold1988/9853532