XXshenqi病毒样本分析+habo分析报告

岁月神偷7

样本MD5：
db3007f01056b70aac3920b628a86f76

哈勃自动分析报告：
http://habo.qq.com/file/showdeta ... 70aac3920b628a86f76

样本下载地址：
http://pan.baidu.com/s/1dDrK1eL

1.病毒简介：

XXshenqi病毒共有两个apk安装包：XXshenqi.apk和com.android.Trogoole.apk，其中XXshenqi.apk是用来负责群发短信和释放com.android.Trogoogle.apk文件；com.android.Trogoogle.apk则是用来接收病毒制造者的手机短信，根据不同的短信指令来监控和上传手机数据。
详细分析：

XXshenqi.apk分析

从xml配置文件里可以看到XXshenqi.apk的应用入口Main Activity是WelcomeActivity

在WelcomeActivity的OnCreate()中

可以看到，在此方法中有两个操作，一个是在3s以后在Handler的Runnable队列中添加一个任务，此任务是调用MainActivity。另外一个是开一个新的线程来调用ReadCONTACTS方法。下面首先来分析一下ReadCONTACTS方法。

在这里我们可以看到，程序遍历通讯录中的联系人，并向其发送短信。里面还有一个连接是
[联系人姓名]看这个，http://cdn.yyupload.com/down/4279193/XXshenqi.apk”，通过这个熟人发送含有下载apk的连接的短信，是此病毒大肆传播的一个重要原因。
短信连接发送成功后，病毒会向一个手机号码为18670259904的手机发送“XXshenqi 群发连接OK”的短信。

ReadCONTACTS()所做的事情也就结束了，下面分析MainActivity。在其OnCreate()中的部分代码如下图

在这里首先注册了一个PACKAGE_ADDED的广播，以此来监听apk是否安装成功。然后如果没有安装com.android.Trogoogle.apk，则安装此apk。retrieveApkFromAssets方法是释放apk到本地手机中。showInstallConfirmDialog方法则是安装apk的过程。
安装成功后，PACKAGE_ADDED广播的OnReceive()会被调用

在此方法中，会启动com.android.trogoogle.apk的Main Activity。同时还会像手机18670259904发送Tro install Ok的短信。
另外程序还有一个注册界面，在RegisterActivity中，诱导用户输入姓名和身份证号，进行简单的验证后，把用户信息通过短信发送到病毒制造者手中。

Com.android.trogoogle.apk分析

首先看一下入口Activity

首先隐藏App图标，然后启动一个ListenMessageService服务。下面来分析一下在此服务中所做的事情

系统通知栏驻留，使系统识别为前台进程,防止被系统杀死。然后注册一个信息的内容观察者，来监控短信的接受。根据病毒制造者发送来的不同短信指令来进行具体的操作。
例如当收到readmessage消息时

会启动一个MySendEmailService服务，

再次服务中，会把收件箱里的短信当做邮件内容全部发送给病毒制造者。
另外com.android.trogoogle.apk也会开启一个接收短信的广播BroadCastRecvMessage，来判断接收到的短信是否是一个重要的短信。并进行相应的逻辑处理

作者还开启一个开机广播，这样当下次启动时，ListenMessageService也会自动启动


整个病毒流程大体就是以上分析。
病毒制造者在接收用户信息时，也透露了自己的手机号，qq号以及密码。

df741852hn

红伞下载拦截

wns110

好

minjiaming

FS杀了

落漠

好压报木马

cn86li

GD
Android.Trojan.SMSSend.TR (引擎A)

蓝天二号

猎豹

b573684723

好压KILL

EAV4.2KILL

火绒扫描MISS

z2009

解压，avast没报，右键杀

chiyin0505

学习中，赞一个，这段时间各种看报告啊