一种伪装成微信的硬化病毒分析

不久前，网络上爆发了一种伪装成微信的病毒。很久没分析病毒了，就拿来练习。

病毒安装后的图标如下图所示：

打开应用程序后，系统会提示您激活管理员：

激活后需要用户添加银行卡信息，包括姓名、身份证号、手机号等。

另外，我们发现它的包名是：

从以上信息，我们基本可以猜测，伪装应用是一种窃取用户银行账户及相关信息的病毒。

反编译apk说明病毒已经被强化了。当你看到com . sec apk . wrapper . application wrapper类的时候，基本可以确定是用“bang bang”加固的。

还好网上有脱壳程序，可以果断脱：

将得到的odex文件反编译成smali文件，然后重新编译成dex文件(如果重新编译的过程中出现错误，只需注释掉错误的部分)。继续查看jar文件，现在所有的鬼怪都出来了：

下面我们来做一个详细的分析。该应用程序注册了两个广播接收器，其中第一个用于注册设备管理器。第二广播接收器用于监控系统启动、短信接收、应用安装和卸载等事件。

当检测到某个应用程序被卸载时，将会发送一封电子邮件。发送的内容包括用户的手机号码、语音信箱号码、设备ID、IMEI、IMSI、网络运营商名称和其他私人信息。

如果收听短信接收广播，就会拦截短信，获取短信的发送者、内容、接收时间，通过邮件发送给攻击者。电子邮件地址是：[email protected]，密码是admin903。收到邮件的地址是：[email protected]。