文档章节

Xposed恶意插件

骑牛找牛
 骑牛找牛
发布于 2014/10/01 16:30
字数 633
阅读 1780
收藏 3

Post by 南山

安天移动安全团队最近发现了一个使用Xposed恶意插件来实现隐藏和伪装自己的恶意样本,并通过HOOK Activity相关的系统API,来获取重要Activity上的用户输入,如支付宝、手机银行、QQ等登录界面的账号和密码。

Xposed框架是一款可以在不修改APK的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。(需root权限)

一、隐藏自己。

HOOK–android.app.ApplicationPackageManager->getInstalledApplications

HOOK–android.app.ApplicationPackageManager->queryIntentActivities

HOOK–android.app.ActivityManager->getRunningServices

HOOK–android.app.ActivityManager->getRunningAppProcesses

在上述api调用完成后,即afterHookedMethod中,将过滤下列相关信息。

  1. 应用本身的信息”com.android.os.backup”;

  2. 提权应用的信息”eu.chainfire.supersu”、”com.koushikdutta.superuser”、”com.qihoo.permroot”;

  3. xposed框架应用”de.robv.android.xposed.installer”;

如getInstalledApplications被hook后的处理方法:

二、伪装成系统应用。

HOOK–getPackagesForUid

在通过getPackagesForUid获取指定id的包名时,hook该api方法后,将”com.android.os.back”替换成”android”,伪装成系统应用。

三、干涉应用权限的检查。

HOOK–android.app.ApplicationPackageManager->checkPermission

HOOK–android.app.ContextImpl->checkPermission

hook了两处权限检查,只要是qihao360的权限检查,则一律拦截,而对该应用本身的权限检查,则全部放行。

四、获取Activity中EditText输入的内容。

HOOK–android.widget.TextView->setInputType

HOOK–android.app.Activity->onPause

hook住setInputType方法后,将触发这个操作的类名保存下来。

HOOK住Activity->onPause方法后,在确认有EditText输入操作发生后,将会获取该Activity所属于的包名、标题等信息,在进一步的操作中会继续获取EditText中的输入内容和Hint内容,然后保存到数据库,等待上传。

通过这种方式,可以获取如支付宝、手机银行、QQ等重要应用中的账户信息。

该样本利用Xposed恶意插件实现隐藏、伪装,并窃取重要Activity的输入信息,达到了以低成本低开发难度来实现更多高难度的技术及行为。用户可以下载安装AVL Pro对该类木马进行检测和查杀,AVL Pro实时防护,帮助大家摆脱病毒营造良好手机环境!


本文转载自:http://blog.avlyun.com/1361.html

共有 人打赏支持
骑牛找牛
粉丝 2
博文 28
码字总数 29263
作品 0
常德
Xposed恶意插件可自动安装激活

Post by Gandalf 概述 AVL移动安全团队在之前的《Xposed恶意插件》一文中分析了一个Xposed恶意插件,但是由于Xposed模块需要手动勾选重启后才能生效,导致应用场景有限。之后网友MindMac提供...

骑牛找牛
2015/01/14
0
0
(Android机)不要随意安装Xposed插件,不然可能遭受财产损失

本文同步自 wing的地方酒馆 Xposed框架是个好东西,有各式各样的插件提供给大家把玩,比如改个通知栏颜色啊,抢个红包啊,防个撤回啊啥的。非常实用。 不过这些功能的背后,带来的可能是一系...

wingichoy
2017/07/31
0
0
virjar/xposedhooktool

hook base工具 Android 破解的hook工具,集成一些帮助破解的常用功能,如自动网络抓包、网络堆栈爆破、文件日志、webview调试环境 入口在 com.virjar.xposedhooktool.hotload.XposedInit,但是...

virjar
04/22
0
0
那些年Android黑科技②:欺骗的艺术

“我的能量无穷无尽,只有强大暗能量才能统治Android界。 受屎吧!!! =≡Σ((( つ•̀ω•́)つ ” -- 来自暗世界android工程师 前言: 这是黑科技系列的第二篇,是Android知识正营中较有深...

猴亮屏
2017/10/24
0
0
Android逆向之旅---破解某支付软件防Xposed的hook功能检测机制过程分析

一、情景介绍 最近想写几个某支付软件的插件,大家现在都知道现在插件大部分都是基于Xposed的hook功能,包括之前写了很多的某社交软件的插件,所以不多说就直接用Jadx打开支付软件之后然后找...

jiangwei0910410003
05/15
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

深夜胡思乱想

魔兽世界 最近魔兽世界出了新版本, 周末两天升到了满级,比之前的版本体验好很多,做任务不用抢怪了,不用组队打怪也是共享拾取的。技能简化了很多,哪个亮按哪个。 运维 服务器 产品 之间的...

Firxiao
5分钟前
0
0
MySQL 8 在 Windows 下安装及使用

MySQL 8 带来了全新的体验,比如支持 NoSQL、JSON 等,拥有比 MySQL 5.7 两倍以上的性能提升。本文讲解如何在 Windows 下安装 MySQL 8,以及基本的 MySQL 用法。 下载 下载地址 https://dev....

waylau
39分钟前
0
0
微信第三方平台 access_token is invalid or not latest

微信第三方开发平台code换session_key说的特别容易,但是我一使用就带来无穷无尽的烦恼,搞了一整天也无济于事. 现在记录一下解决问题的过程,方便后来人参考. 我遇到的这个问题搜索了整个网络也...

自由的开源
今天
0
0
openJDK之sun.misc.Unsafe类CAS底层实现

注:这篇文章参考了https://www.cnblogs.com/snowater/p/8303698.html 1.sun.misc.Unsafe中CAS方法 在sun.misc.Unsafe中CAS方法如下: compareAndSwapObject(java.lang.Object arg0, long a......

汉斯-冯-拉特
今天
2
0
设计模式之五 责任链模式(Chain of Responsibility)

一. 场景 相信我们都有过这样的经历; 我们去职能部门办理一个事情,先去了A部门,到了地方被告知这件事情由B部门处理; 当我们到了B部门的时候,又被告知这件事情已经移交给了C部门处理; ...

JackieRiver
今天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部