本文主要是介绍一个携带恶意ELF的样本分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
1.样本的主要行为
- 样本启动后会向系统目录下面释放一个被加密的ELF文件,母包会联网下载广告图片,推送弹框广告;
- SK文件检测模拟器和虚拟机环境,干扰沙箱检测apk文件;
- 释放的ELF文件会获取系统权限,破坏卸载其他root工具的正常使用,导致恶意的ELF文件无法被删除;
- ELF文件同时会从远端获取指令,静默下载安装其他其他恶意子包,且安装的系统目录下面导致无法卸载;
- 恶意子包进一步获取从远端获取指令静默下载安装其他恶意子包; 恶意子包的行为静默安装卸载,获取用户安装的文件信息并上传到远端服务器;
- 同时恶意的ELF文件会获取用户手机类的杀软信息伪造杀软更新或者系统更新,进而更近一步诱导用户去点击安装已经下载的应用;
2.病毒行为流程图
- 整个母包子包和恶意ELF行为流程如下
这篇关于一个携带恶意ELF的样本分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
