“史上最强Android木马”暴力破解分析

  次阅读 来源:互联网(转载协议) 2016-01-19 11:02 我要评论(0)

史上最强Android木马 有多神奇?就此,手机安全专家为我们做了深度剖析,详解攻破最强木马 三层防查杀的整个过程。

最近有媒体爆料,最高级的Android木马已经现身,据称 它能利用Android操作系统此前未知的漏洞提升程序权限,并能阻止 被卸载。 该恶意程序被称为 Backdoor.AndroidOS.Obad.a ,其恶意行为是通过悄悄向增值服务号码发送短信获利。利用 Android未曾发现漏洞并且无法卸载, 史上最强Android木马 有多神奇?就此,手机安全专家为我们做了深度剖析,详解攻破最强木马 三层防查杀的整个过程。

第一层:封堵病毒分析主要入口 阻止安全工程师获取安全信息

首先,该木马为逃避杀毒软件查杀确实煞费苦心。它在代码中采取了一些专门针对病毒分析人员的措施,为安全公司分析它增加难度。例如,大多数安全公司 分析Android木马样本时,通常采用AXML解析工具来解析样本的主配置文件AndroidManifest.xml文 件。该文件包含了Android应用的主要模块入口信息,是木马分析时的重要线索。Obad.a木马故意构造了一个非标准的 AndroidManifest.xml文件,使得病毒分析人员无法得到完整数据。

第二层:对指令代码进行特殊处理 阻止反编译

该木马除了对代码进行加密处理以外,还通过对指令代码进行特殊处理,使得安全公司常用的Java反编译工具无法正确地反编译其指令,增加对木马的分 析难度:

第三层:利用系统缺陷阻止用户卸载

该木马为防止被用户发现后卸载煞费苦心。Android系统从2.2版本开始,提供了一个 设备管理器 的功能,其初衷是为企业部署远程IT控制使 用,为了防止员工私自卸载企业安装的 设备管理器 ,一旦激活设备管理器之后,该设备管理器就不可删除。但是,由于Android系统对此功能设计的不完 善,使得木马可以利用这个机制,让自己注册成为一个设备管理器,从而阻止用户卸载。

木马首先会提示用户 激活设备管理器 :

而一旦用户不慎点了 激活 ,那么木马就被注册成了设备管理器,此时该木马的 强行停止 和 卸载 按钮将完全失效,即,木马无法关闭,也无法卸 载:

最可怕的是,设备管理器还存在一定缺陷,当木马故意以一种错误的方式来注册设备管理器时,Android系统也能让它注册成功,但是在设备管理器列 表中不会显示。用户因此找不到取消注册设备管理器入口,无法取消木马的设备管理权限。

系统中甚至不会列出木马所注册的设备管理器

本站部分文章来源于网络以及网友投稿,本站只负责对文章进行整理、排版、编辑,是出于传递更多信息之目的,并不意味着赞同其观点或证实其内容的真实性。如果您有什么意见或建议,请联系QQ28-1688-302!

人工智能实验室
相关文章相关文章
  • Oculus公布原型机,大幅度提升可视角,能实现140°的视场水平

    Oculus公布原型机,大幅度提升可视角,能实现140°的视场水平

  • teamLab创始人猪子寿之: 抛去衣食住行,我还剩下什么?

    teamLab创始人猪子寿之: 抛去衣食住行,我还剩下什么?

  • 2018深圳国际人工智能展览会 2018 shenzhen International Artif

    2018深圳国际人工智能展览会 2018 shenzhen International Artif

  • Michael I. Jordan带你解读百万奖金ATEC蚂蚁人工智能大赛

    Michael I. Jordan带你解读百万奖金ATEC蚂蚁人工智能大赛

网友点评网友点评
阅读推荐阅读推荐

据外媒报道,STEER打造了首款完全自动驾驶停车技术,旨在使常规车辆转变为无人驾驶车辆。STEER的首款技术应用是4级自动驾驶及网络安全停车...

近日,美国软性机器抓手制造商 Soft Robotics 宣布,获得 2000 万美元的融资,本轮投资者包括 Scale Venture Partners,Calibrate Ventures...

据外媒报道,加州车管局发布了《2017自动驾驶脱离报告(California Autonomous Vehicle Disengagement Reports)》,其中谈及了脱离的具体...

用人机语音交互,来解决智能家居适老的问题;通过家庭门禁与安防套件、空气净化套件、可燃气体与有害气体监控套件等相互联动,在不同生活情...