Android木马Lightdd分析报告

一、 基本信息

病毒名称：Trojan/Android.Lightdd
病毒类型：木马
样本MD5：91D23081B8478556E8A2B2FDF28F5760
样本长度：2,246,573 字节
发现时间：2011.05.30
感染系统：Android 1.5及以上

二、 概述

    该木马植入到手机软件“Hot Girls 3”中，主要行为是当手机的通话状态改变时，触发广播接收器，进而启动服务。该服务设置10小时的定时器，10小时后，开始搜集用户手机的IMEI、IMSI、国家、语言、系统版本等信息，以及手机中安装的所有应用程序列表，发送到配置文件指定的远程服务器之中。由此，造成用户信息泄露。

三、 样本特征

1. 敏感权限
android.permission.READ_PHONE_STATE 允许应用程序访问设备的手机功能。有此权限的应用程序可确定此手机的号码和序列号，是否正在通话，以及对方的号码等。
2. 入口点和恶意模块
接收器（Receiver） com.passionteam.lightdd.Receiver，由通过android.intent.action.PHONE_STATE事件（电话状态改变）触发，用于启动服务com.Passionteam.light.dd.CoreService，来执行被植入的恶意代码。
服务（Service）com.Passionteam.light.dd.CoreService，主要的恶意模块。
3. 敏感字符串
存储信息的文件名：“prefer.dat”

四、 行为分析

    通过android.intent.action.PHONE_STATE响应事件，来启动广播接收com.passionteam.lightdd.Receiver，然后通过这个广播接收器来启动com.Passionteam.light.dd.CoreService服务。

将获得url地址和文件名称的写入到“prefer.dat”配置文件中，然后发送到窗口中，如图 1：

图 1 添加配置信息及发送信息到窗口

获得被感染手机用户的手机信息后，如图 2 ：

图 2 获取被感染手机用户的信息

获取被感染手机用户的手机上安装的应用程序的信息（IMEI、IMSI、国家、语言、系统版本等）：如图 3：

图 3 获取应用程序列表

请求服务器的连接及设置连接参数，通过调用HttpURLConnection类中的getOutputStream()方法，在调用disconnect()，最后将手机用户的信息提交到配置文件中所存储的url地址远程服务器，如图 4：

图 4 连接服务器