『炸他妈.apk』病毒分析以及注册算法

2016年04月23日 7407点热度 2人点赞 15条评论

原创信息

作者: Sollyu

博客: http://www.sollyu.com

病毒截图

安装『炸他妈.apk』之后运行界面如下

『炸他妈.apk』病毒分析以及注册算法

点击『开始轰炸』会要求ROOT权限,此时如果授权ROOT那么你就会中招。授权ROOT之后手机会自动重启,然后你就会看到下面的界面

『炸他妈.apk』病毒分析以及注册算法

行为分析

首先当点击了授权ROOT之后,病毒会执行下面ROOT代码

『炸他妈.apk』病毒分析以及注册算法

大致的功能为:挂在系统盘、释放一些文件、复制zihao.apk文件到/system/app/目录下,这样zihao.apk就有了系统权限。

下面大致的看一下释放过的文件的样子,头像是一个QQ,可能是用于伪装吧。

『炸他妈.apk』病毒分析以及注册算法

使用JEB简单看一下这个zihao.apk中声明的权限信息,里面有重要的权限有一个android.intent.action.BOOT_COMPLETED, 启动时加载的权限。

『炸他妈.apk』病毒分析以及注册算法

然后跟入这个bbb的receiver,就可以看到它又启动了s的service, 上面的病毒截图就是这个这个s的service的界面。

s的service的onCreate函数中可以看到下面的代码,可以看到他的加密算法极其简单!!!!(还得我还看了很久的DES解密,鄙视(#‵′)凸)

『炸他妈.apk』病毒分析以及注册算法

算法解密

解密算法很简单: 序列号 + 250就是解锁密码

善后步骤

解锁之后,首先使用RE或者其它带有ROOT功能的文件管理器,删除/system/app/zihao.apk文件,然后卸载炸他妈即可。

其他说明

下面是作者的信息: QQ: 40757940, 解锁QQ群: 181897508

请大家不要加上面的联系,写出上面的信息主要是为了搜索引擎可以搜索到这篇文章。

『炸他妈.apk』病毒分析以及注册算法

Sollyu

保持饥渴的专注,追求最佳的品质