Android木馬簡介與分析

作者：佚名 2014-07-21 10:27:54

本文介紹基于Android的手機惡意軟件，是一個基礎(chǔ)性的介紹，給新入門的人提供一個分析和工具指引。要分析的木馬是一個2013年的syssecApp.apk，這個木馬的分析能對Android惡意軟件有個大概了解

本文介紹基于Android的手機惡意軟件，是一個基礎(chǔ)性的介紹，給新入門的人提供一個分析和工具指引。要分析的木馬是一個2013年的syssecApp.apk，這個木馬的分析能對Android惡意軟件有個大概了解。

基礎(chǔ)：

1 –Android應(yīng)用基礎(chǔ)

Android是google開發(fā)基于Linux內(nèi)核的開源的手機操作系統(tǒng)，應(yīng)用程序使用JAVA語言編寫并轉(zhuǎn)換成了Dalvik虛擬機，而虛擬機則提供了一個抽象的真實硬件，只要和操作系統(tǒng)的API符合程序都可以在其上運行。應(yīng)用則需要Linux的用戶和組來執(zhí)行，所以目前所有的惡意軟件都需要獲得權(quán)限。

Android應(yīng)用的格式是APK，是一種包含AndroidManifest.xml的 ZIP文件，媒體類文件實際代碼是classes.dex和一些其他的可選文件。XML提供Android系統(tǒng)的重要信息，比如用啟動應(yīng)用程序時需要什么權(quán)限，只有這個文件中列出的權(quán)限才提供給該應(yīng)用，否則返回失敗或空結(jié)果。classes.dex是Android應(yīng)用程序?qū)崿F(xiàn)的邏輯部分，是一個編譯代碼可由Dalvik虛擬機執(zhí)行，打包成jar，從而節(jié)約移動設(shè)備上的一些空間。

2 –分析工具

2.1Dexter

Dexter可以將Android應(yīng)用上傳做分析，提供了包和應(yīng)用元數(shù)據(jù)的介紹。包的依賴關(guān)系圖顯示了所有包的關(guān)系，可以快速打開列表顯示所有的class和功能。

2.2Anubis

Anubis也是一個WEB服務(wù)，應(yīng)用在沙箱里運行，每個樣品相互獨立，來分析文件和網(wǎng)絡(luò)的活動。同時也提供一些靜態(tài)分析，包括權(quán)限XML在調(diào)用過程中的變化。

2.3 APKInspector

Apkinspector提供了很多工具，APK加載后可以選擇標簽來執(zhí)行其中的功能，帶有一個Java反編譯器JAD，能夠反編譯大多數(shù)類，但經(jīng)常報錯。

2.4 Dex2Jar

可將dex 文件轉(zhuǎn)成 Java 類文件的工具，即使你是經(jīng)驗豐富的逆向工程師，也可以考慮使用。

3 – 實例分析

3.1 Anubis

Anubis的顯著特點是，給出了應(yīng)用所需權(quán)限的大名單：

截圖上包括了應(yīng)用的部分權(quán)限。INTERNET權(quán)限是常見的游戲所需，用來在線統(tǒng)計跟蹤，開啟共享功能或者廣告。還有一些WAKE_LOCK、 READ_PHONE_STATE用來讀取手機狀態(tài)，防止在游戲中鎖屏。但 READ_CONTACTS、 READ_HISTORY_BOOKMARKS則看起來就很奇怪，不像是一個游戲該干的事情。對 127.0.0.1:53471的連接看起來也很奇怪。分析鏈接：http://anubis.iseclab.org/?action=result& amp;task_id=1a6d8d21d7b0c1a04edb2c7c3422be72f&format=html