【移动样本分析】对木马APP土耳其字典的逆向分析

报告名称：对木马APP土耳其字典的逆向分析

作者：wnagzihxain
报告更新日期：2017.02.08
样本发现日期：不详
样本类型：木马
样本文件大小／被感染文件变化长度：
样本文件MD5 校验值：
样本文件SHA1 校验值：
壳信息：无
可能受到威胁的系统：安卓
相关漏洞：无
已知检测名称：无

0x00 病毒特征
该病毒内嵌一个正常应用 `土耳其字典` ，并将自己伪装成该应用诱导用户下载安装，点击运行后会先运行病毒自身，并隐藏图标，然后释放安装原应用 `土耳其字典` ，并打开正常运行界面，用户很难察觉在安装时还运行了病毒

0x01 病毒危害
该病毒启动后会在后台获取用户手机硬件数据，GPS位置，短信信息，通话记录，照片缩略图等数据，并在判断网络接通后进行压缩上传，该病毒一旦运行在用户手机中，将造成严重的隐私泄露，流量消耗等问题

0x02 详细分析
病毒逻辑结构

1.初次运行会进行一次本地配置文件的初始化，保存各种参数信息，比如监控GPS的时间间隔 `GPSLevel` ，默认是 `120` ，也就是两个小时记录一次，在比如 `ImageSize` ，默认是 `100`

在初始化这些变量之后会进行一次存储，写进配置文件

最后判断是否Root，如果未Root直接退出

2.如果不是第一次运行并且网络连通，则进行配置参数的更新，然后初始化参数


3.如果不是第一次运行并且网络不连通，则使用配置文件的数据进行参数的初始化


4.在进行参数的初始化完成后，设置隔两小时发送一个广播
`"com.example.andro IDA pp.GPS_TIMER"`


接收这个的Receiver会启动MyGpsService，该Service主要负责同步 `Login.xml` 里基站部分的信息，如果基站信息变化则进行数据上传并更新本地配置文件


5.设置一个定时广播 `"android.intent.action.STARTMYAP"` ，用于定时启动病毒自身


6.接下来会进行数据的获取并上传的操作，上传时的流程会结合本地配置文件以及获取的指令进行动态调整，上传的内容包括联系人列表，已安装APP应用信息，短信，通话记录，上网记录，图片缩略图等，收集到的信息会先进行编码，然后压缩，并在网络连通的情况下上传到服务器

跟入方法 `GetInfo()` 分析都获取了哪些数据
首先是关于硬件的各种参数以及系统版本的一系列信息

受害者手机当前所连接的基站信息

受害者手机当前所连接的WiFi信息

以及GPS位置信息

在获取这些数据后会进行压缩处理

然后编码

压缩后进行上传，并将上传结果写进配置文件

在最后还有一个对指令的解析操作，当第n次运行的时候，作者会通过回传的指令来控制配置文件，而配置文件动态控制数据的获取流程，从而有针对性的获取受害者手机数据