盘石软件(上海)有限公司计算机司法鉴定所对检材APK程序的功能性鉴定
案例内容
【案情简介】
据委托方介绍,2016年期间,犯罪嫌疑人潘某等人以校讯通、违章查询等方式发送含有木马病毒的链接给受害人,骗取受害人钱财。为鉴定潘某所使用的软件是否留有后门,办案机关委托盘石软件(上海)有限公司计算机司法
鉴定所对该AKP软件进行鉴定。
【鉴定过程】
(一)鉴定过程
1.虚拟机创建
使用VMware Workstation程序创建新的虚拟机,操作系统为windows 7,虚拟机信息如下所示:
将相关APK目录文件复制到虚拟机中,部分截图如下所示:
2.dex文件反编译
在虚拟机中将“校讯通.apk”文件的后缀名改为“.zip”格式并进行解压,解压后内容如下:
解压后的文件夹中classes.dex文件是java文件编译再通过dex工具打包而成的,将classes.dex复制到dex2jar.bat所在目录中,截图如下所示:
在命令行下定位到dex2jar.bat所在目录,运行命令“d2j-dex2jar.bat classes.dex”,截图如下:
完成以后,在dex2jar.bat所在目录下会产生一个“classes-dex2jar.jar”文件,截图如下所示:
3.jar文件分析
使用java反编译工具jd-gui.exe打开生成的jar包“classes_dex2jar.jar”,对jar文件进行分析, 发现恶意行为及代码片段由于代码经过混淆,故只对恶意行为进行说明。
3.1“校讯通.apk”功能分析
隐藏桌面图标:类“com.phone2.stop.activity.MainActivity”,代码截图如下所示:
类“com.phone.stop.db.a.class”为代码保存数据的位置,具有保存数据、提交数据、获取数据的功能,此段代码内定义的方法内含有一个固定的电话号码和邮箱,分别为:“13028888604”、“lao88520lao@aliyun.com”,邮箱密码为“qwe123123qwe”,根据其他类的调用可知,其他模块会调用这些方法向手机号码发送短信或者向邮箱发送邮件,代码截图如下:
短信获取设置:类“com.phone.stop.a.a.class”,代码截图如下:
获取短信:类“com.phone.stop.b.b.class”,代码截图如下:
获取联系人和手机号码信息:类“com.phone.stop.c.a.class”,代码截图如下:
删除短信:类“com.phone.stop.c.f.class”,代码截图如下:
发送短信:类“com.phone.stop.e.f.class”,代码截图如下:
邮箱设置和发送邮件:类“com.phone.stop.c.b.class”和“com.phone.stop.c.d.class”,代码截图如下:
激活设备管理器:类“com.phone2.stop.activity. DeleteActivity”,代码截图如下:
通过对“校讯通.apk”功能分析,可知其代码部分含有恶意功能模块,恶意模块的主要功能有:隐藏桌面图标,激活设备管理器,获取手机中的基本信息、短信、邮件,发送短信,发送邮件。这些恶意功能会造成用户隐私泄露。
3.2“校讯通0.apk”功能分析
隐藏桌面图标:类“com.phone2.stop.activity. MainActivity”,代码截图如下:
类“com.phone.stop.db.a.class”为代码保存数据的位置,具有保存数据、提交数据、获取数据的功能,此段代码内定义的方法内含有一个固定的电话号码和邮箱,分别为:“13189789727”、“13525483198@163.com”,邮箱密码为“qqwwee123”,根据其他类的调用可知,其他模块会调用这些方法向手机号码发送短信或者向邮箱发送邮件,代码截图如下:
短信获取设置:类“com.phone.stop.a.a.class”,代码截图如下:
获取短信:类“com.phone.stop.b.b.class”,代码截图如下:
获取联系人和手机号码信息:类“com.phone.stop.c.a.class”,代码截图如下:
删除短信:类“com.phone.stop.c.f.class”,代码截图如下:
发送短信:类“com.phone.stop.e.f.class”,代码截图如下:
邮箱设置和发送邮件:类“com.phone.stop.c.b.class”和“com.phone.stop.c.d.class”,代码截图如下:
激活设备管理器:类“com.phone2.stop.activity. DeleteActivity”,代码截图如下:
通过对“校讯通0.apk”功能分析,可知其代码部分含有恶意功能模块,恶意模块的主要功能有:隐藏桌面图标,激活设备管理器,获取手机中的基本信息、短信、邮件,发送短信,发送邮件。这些恶意功能会造成用户隐私泄露。
3.3“违章查询.apk”功能分析
隐藏桌面图标:类“com.phone2.stop.activity. MainActivity”,代码截图如下:
类“com.phone.stop.db.a.class”为代码保存数据的位置,具有保存数据、提交数据、获取数据的功能,此段代码内定义的方法内含有一个固定的电话号码和邮箱,分别为:“15602951838”、“a17078333899@263.net”,邮箱密码为“qwe147258”,根据其他类的调用可知,其他模块会调用这些方法向手机号码发送短信或者向邮箱发送邮件,代码截图如下:
短信获取设置:类“com.phone.stop.a.a.class”,代码截图如下:
获取短信:类“com.phone.stop.b.b.class”,代码截图如下:
获取联系人和手机号码信息:类“com.phone.stop.c.a.class”,代码截图如下:
删除短信:类“com.phone.stop.c.f.class”,代码截图如下:
发送短信:类“com.phone.stop.e.f.class”,代码截图如下:
邮箱设置和发送邮件:类“com.phone.stop.c.b.class”和“com.phone.stop.c.d.class”,代码截图如下:
激活设备管理器:类“com.phone2.stop.activity. DeleteActivity”,代码截图如下:
通过对“违章查询.apk”功能分析,可知其代码部分含有恶意功能模块,恶意模块的主要功能有:隐藏桌面图标,激活设备管理器,获取手机中的基本信息、短信、邮件,发送短信,发送邮件。这些恶意功能会造成用户隐私泄露。
3.4“智障单.apk”功能分析
类“tdxvcfdbv.eassdgdtfyyft.chyfudyferddfd.ltyrufyrfdfllll.view.MainActivity.class”主要功能为隐藏应用图标,和调用类“com.b.a.b.l.class”中的方法“a”来获取手机的系统信息,代码截图如下所示:
类“com.b.a.b.l.class”,代码截图如下所示
类“com.b.a.b.c.class”和“com.b.a.b.j.class”主要功能为获取当前设备内的联系和短信(方法:ContentResolver内的query方法),代码截图如下所示:
类“com.b.a.b.f.class”主要功能为删除当前设备内短信(方法:ContentResolver内的delete方法),代码截图如下所示:
类“com.b.a.b.h.class”主要功能为向号码为“18203754904”的手机发送通知短信:
类“com.b.a.b.b.class”主要为邮箱配置,“com.b.a.b.d.class”主要功能为邮箱接收短信功能,接收短信的收件邮箱为“gtdretrsw@263.net”,登录密码为“qwe123123”,代码截图如下:
类“trazsda.ltdrteddtyrert.dryteytffgt.letryftrrfdt.receiver. PAReceiver.class”主要功能为激活设备管理器(可达到的效果:当用户激活设备管理器后,程序会在setting设备管理器列表隐藏,应用程序激活成设备管理器后,可以实现锁屏、擦除用户数据等功能,并且无法使用常规的卸载方式对其卸载),并短信通知号码为“18203754904”的手机,代码截图如下:
通过对“智障单.apk”功能分析,可知其代码部分含有恶意功能模块,恶意模块的主要功能有:隐藏桌面图标,激活设备管理器,获取手机中的基本信息、短信、邮件,发送短信,发送邮件。这些恶意功能会造成用户隐私泄露。
【分析说明】
通过反编译工具解析APK文件的内部文件并对其部分代码做功能性分析,可知提取的4个APK文件中均含有恶意功能模块,恶意功能主要有:隐藏桌面快捷图标,激活设备管理器,获取手机中的基本信息、短信、邮件,发送短信,发送邮件。这些恶意功能会造成用户隐私泄露。
【鉴定意见】
经鉴定,送检的4个APK文件中均含有恶意功能模块,恶意功能模块包括:隐藏桌面快捷图标,激活设备管理器,获取手机中的基本信息、短信、邮件,发送短信,发送邮件。这些恶意功能会造成用户隐私泄露。