潜魔间谍程序分析报告

潜魔间谍程序分析报告

一款长期隐藏不被查杀的间谍软件的分析

概述

近日发现一款有意思的病毒,该病毒的最大特点是从2013年到现在一直没被杀软查杀(截稿时已有10家公司可以查杀)。

基本信息:

应用名:Proxy

大小:50.66 KB

样本MD5:d05d3f579295cd5018318072adf3b83d

签名信息:台北

1

恶意行为:搜集用户个人信息,上传远程服务器,典型的间谍行为。

特点:隐蔽,定时上传信息,并定时删除收集的信息文件。

代码分析

  • 病毒入口:

由于程序的主activity没有界面,所以程序入口只能是两个receiver:ProxyReceiver,SMSReceiver。

即当手机收到短信时、系统网络变化和设备休眠唤醒时。【注:由于用户没有用户界面,所以应该是有其他程序来启动这个应用,来保证它在3.1以后的系统可以进行启动。】

  • 主要行为

由receiver启动ProxyService(病毒的主要文件),该服务内包含病毒的主要恶意行为:

  1. AccountManager类获取用户手机内账号信息

account

账号信息指的是这个位置的,如果添加其他账户的信息,也会被泄露。:

zhanghu1 zhanghu2

 

  1. 窃取的短信记录和通话记录:

sms1

短信的收发内容、号码统统的收集。

sms2

  1. 记录用户的地理位置信息(在解析用户地址的时候有个繁体字“號”,结合前面签名信息,可以了解该病毒作者应该在台湾地区):

local

local2

将收集的隐私信息保存到ProxyLog.out文件内。

files

将获得隐私内容读取到list中。

tolist

  1. 后台联网将隐私 post出去,地址为:http://proxylog.dyndns.org/proxy/log.php

httppost

dyndns.org是一个动态域名提供商:

dyndns

总结

该病毒能够长时间隐藏不被发现和它的自身特点有关:

  • 病毒无桌面图标。
  • 伪装成Proxy的应用名和系统图标,让人不敢直接删除。
  • 行为仅为后台窃取信息,没有明显发作现象。
  • 和一般病毒使用公用签名不同,该病毒使用的签名看起来很是正规。
  • 病毒内仅有google的网址和org的网址,对于基于恶意URL库的自动检测来说是无法检测到恶意的。

 

另外作者使用动态域名使得就算发现手机存在外发连接也没有办法追踪作者。

此条目发表在安全分类目录。将固定链接加入收藏夹。