0x00 App劫持病毒介绍

App劫持是指执行流程被重定向，又可分为Activity劫持、安置劫持、流量劫持、函数执行劫持等。本文将对近期操作Acticity劫持和安置劫持的病毒进行分析。

0x01 Activity劫持病毒分析
1.1 Activity劫持病毒介绍

Activity劫持是指当启动某个窗口组件时，被恶意应用探知，若该窗口界面是恶意措施预设的打击东西，恶意应用将启动本身仿冒的界面笼罩原界面，用户在毫无察觉的情况下输入登录信息，恶意措施在把获取的数据返回给处事端。

以MazarBOT间谍木马为例，该类木马有一下几个特点：

伪装成系统短信应用，启动后请求激活设备打点权限，随后隐藏图标；

操作Tor与C&C控制中心进行匿名通信，抵制流量分析；

C&C控制中心下发指令进行手机控制、update html、以及信息收集；

通过处事器动态获取htmlData，然后实施界面劫持，获取用户账号信息；

以下是C&C控制中心指令列表：

我们发明该木马能接受并措置惩罚惩罚一套完整的C&C控制指令，并且使用Tor进行匿名网络通信，使得流量数据的来源和目的地不是一条路径直接相连，增加对打击者身份反溯的难度。结下来我们将详细分析该木马界面劫持过程。

1.2 界面劫持过程分析

入口梳理首先看到axml文件。WorkerService处事措置惩罚惩罚C&C控制中心下发的”update html”指令，同时后台监控顶层运行的Activity，若是待劫持的应用将会启动InjDialog Acticity进行页面劫持。

图 axml信息

下图是后台处事对顶层Acticity监控过程，若是待劫持应用则启动InjDialog进行劫持。getTop函数做了代码兼容性措置惩罚惩罚，5.0以上的设备木马也可以获取顶层Acticity的包名。

图 后台监控

InjDialog Activity通过webView加载伪造的html应用界面,挪用webView.setWebChromeClient(new HookChromeClient())设置html页面与Java交互，在伪造的Html页面里挪用prompt把JS中的用户输入信息通报到Java，HookChromeClient类重写onJsPrompt要领，措置惩罚惩罚用户输入信息，最后将劫持的用户信息通过Tor匿名上传到指定域名。

图 劫持用户信息

图 上传劫持信息

0x02 应用安置劫持病毒分析
2.1安置劫持病毒介绍

安置劫持病毒通过监听android.intent.action.PACKAGE_ADDED和android.intent.action.PACKAGE_REPLACED intent实施打击，包孕两种手段，一种是卸载删除去真正安置的apk，替换为打击者伪造的应用；此外一种是借用用户正在安置的这个动静，暗暗的安置本身推广的其他应用。这个过程就像你平时喝的“六个核桃”，某天你居然喝到“七个核桃”。

2.2应用相关信息

该应用是一款名为”FlashLight”的应用，措施包名：com.gouq.light,应用图标如下：

2.3主要组件分析

.App :应用Application类，加载Assest目录下加密jar包，获取接口ExchangeImpl东西，在jar里实现接口函数onApplicationCreate、triggerReceiver、triggerTimerService；启动核心处事LightService；

.LightService :应用核心处事，可外部挪用启动LightTiService，到达替换进程名，以及am启动处事以自身保活；

.LightTiService :由LightService启动，该处事会挪用动态加载包里的triggerTimerService接口要领，完成对以安置应用的删除、当前设备信息上传、从处事器下载待安置应用；

.AppReceiver :广播接收器，通过加载的jar包里triggerReceiver接口要领实现，措置惩罚惩罚android.intent.action.PACKAGE_ADDED和android.intent.action.PACKAGE_REPLACED intent检察安置跟新应用是否是劫持应用，若是通过execCmd进行安置劫持。

下图安置劫持过程，通过监听应用的安置和更新，实施关联的其他应用的静默安置。

图 安置劫持