正文
常见安卓恶意代码的传播方式:
1
、木马链接短信息。
这种最常见,一般会伪装相册、视频、请帖、学校成绩单、交警违章信息等。可能通过伪基站、短信平台、
170|171
等虚拟号码发送,有的是已中马的联系人手机被木马控制后的自动转发。
2
、欺诈网站“赠送”。
欺诈网站一般伪装银行、移动等官方网站,诱导填入身份证、银行卡、手机号等个人信息,有的还会诱导受害人点击木马链接。
3
、诈骗电话配合。
先电话伪装成银行等机构,以更新客户端等理由诱骗受害人下载木马进行安装。
不管哪种方式传播,都需要用户先下载并安装到自己手机上才能作恶。目前比较常见的安卓恶意代码是短信拦截马,一般都具有回传邮箱、回传信息
IP
(域名)、远控手机号等信息,可以据此进行溯源。对安卓木马静态分析的前提是获取到恶意
apk
文件。
最近看到很多反诈骗宣传的提醒,说一旦中了木马该怎么做,一般都会推荐进行刷机,与干警交流也发现,很多报案的受害人,都选择刷机处理,刷机后恢复
apk
文件的可能性比较小,加之钓鱼链接失效,一旦发生经济损失无法进行溯源。
我自己推荐的做法是:
-
取出手机卡
-
关闭网络
-
尽量通知通讯录中的好友警惕防范
-
提取恶意apk成功后再进行刷机
-
发现有经济损失立即报警
一般的获取方法如下图所示:从受害人提供的链接下载
apk
往往要求很高的时效性。
现在我们重点说下把已安装的恶意代码提取为
apk
的方法。
方法一:
adb
命令提取
可以参考这篇:
ADB
命令使用基础及删除屏幕锁实验
将
USB
线连接手机,并开启
USB
调试。
1
、
adb
devices
查询关联模拟器
\
设备
找到设备
Y9K0215418001362
是我的手机
2
、启动
adb
shell
命令
3
、
pm list packages
命令列出所有安装包
可以从中发现所有的安装包,当然这样看起来比较头疼,有的木马还会伪装系统安装包。
4
、查询
package
的安装位置
pm path +
包名找到
安装位置
5
、将
apk
文件复制
出来
别忘记先输入
exit
命令退出
adb
shell
状态,然后使用
adb
pull
命令从刚才我们找到的安装位置提取出
apk
文件。
执行完毕以后,我会在
C:\Users\ASUS
目录下找到
a.apk
