爱华网常见安卓恶意代码的传播方式:
1、木马链接短信息。
这种最常见,一般会伪装相册、视频、请帖、学校成绩单、交警违章信息等。可能通过伪基站、短信平台、170|171等虚拟号码发送,有的是已中马的联系人手机被木马控制后的自动转发。
2、欺诈网站“赠送”。
欺诈网站一般伪装银行、移动等官方网站,诱导填入身份证、银行卡、手机号等个人信息,有的还会诱导受害人点击木马链接。
3、诈骗电话配合。
先电话伪装成银行等机构,以更新客户端等理由诱骗受害人下载木马进行安装。
不管哪种方式传播,都需要用户先下载并安装到自己手机上才能作恶。目前比较常见的安卓恶意代码是短信拦截马,一般都具有回传邮箱、回传信息IP(域名)、远控手机号等信息,可以据此进行溯源。对安卓木马静态分析的前提是获取到恶意apk文件。
最近看到很多反诈骗宣传的提醒,说一旦中了木马该怎么做,一般都会推荐进行刷机,与干警交流也发现,很多报案的受害人,都选择刷机处理,刷机后恢复apk文件的可能性比较小,加之钓鱼链接失效,一旦发生经济损失无法进行溯源。
我自己推荐的做法是:
取出手机卡
关闭网络
尽量通知通讯录中的好友警惕防范
提取恶意apk成功后再进行刷机
发现有经济损失立即报警
一般的获取方法如下图所示:从受害人提供的链接下载apk往往要求很高的时效性。
现在我们重点说下把已安装的恶意代码提取为apk的方法。
方法一:adb命令提取
可以参考这篇:ADB命令使用基础及删除屏幕锁实验
将USB线连接手机,并开启USB调试。
1、adb devices 查询关联模拟器设备
找到设备Y9K0215418001362是我的手机
2、启动adb shell命令
3、pm list packages命令列出所有安装包
可以从中发现所有的安装包,当然这样看起来比较头疼,有的木马还会伪装系统安装包。
4、查询package的安装位置
pm path +包名找到安装位置
5、将apk文件复制出来
别忘记先输入exit命令退出adb shell状态,然后使用adb pull命令从刚才我们找到的安装位置提取出apk文件。
执行完毕以后,我会在C:UsersASUS目录下找到a.apk文件。你也试试吧!
方法二:外部工具提取
使用adb命令提取apk毕竟繁琐,可以使用一些外部工具来提取。我的手机是华为,用华为手机助手非常方便。
选择已安装应用选项,可以列出手机中所有已安装的应用。
选择想导出的应用,点击右下导出即可。
另外其他的手机助手类工具如360手机助手等完全也可以做到。
那么再跟大家探讨下:
一旦发现手机中马,我推荐的做法是:
取出手机卡
关闭网络
尽量通知通讯录中的好友警惕防范
提取恶意apk成功后再进行刷机
发现有经济损失立即报警
