原创信息
作者: Sollyu
病毒截图
安装『炸他妈.apk』之后运行界面如下
点击『开始轰炸』会要求ROOT权限,此时如果授权ROOT那么你就会中招。授权ROOT之后手机会自动重启,然后你就会看到下面的界面
行为分析
首先当点击了授权ROOT之后,病毒会执行下面ROOT代码
大致的功能为:挂在系统盘、释放一些文件、复制zihao.apk文件到/system/app/目录下,这样zihao.apk就有了系统权限。
下面大致的看一下释放过的文件的样子,头像是一个QQ,可能是用于伪装吧。
使用JEB简单看一下这个zihao.apk中声明的权限信息,里面有重要的权限有一个android.intent.action.BOOT_COMPLETED, 启动时加载的权限。
然后跟入这个bbb的receiver,就可以看到它又启动了s的service, 上面的病毒截图就是这个这个s的service的界面。
在s的service的onCreate函数中可以看到下面的代码,可以看到他的加密算法极其简单!!!!(还得我还看了很久的DES解密,鄙视(#‵′)凸)
算法解密
解密算法很简单: 序列号 + 250就是解锁密码
善后步骤
解锁之后,首先使用RE或者其它带有ROOT功能的文件管理器,删除/system/app/zihao.apk文件,然后卸载炸他妈即可。
其他说明
下面是作者的信息: QQ: 40757940, 解锁QQ群: 181897508
请大家不要加上面的联系,写出上面的信息主要是为了搜索引擎可以搜索到这篇文章。
