Anubis恶意软件家族样本分析教学文档

Anubis恶意软件家族样本分析教学文档 1. 概述 Anubis是一种针对Android平台的恶意软件家族，主要功能是窃取用户敏感信息并进行远程控制。本教学文档将详细分析该恶意软件的技术特点、行为特征和防御措施。 2. 样本基本信息 2.1 基础信息 | 项目 | 描述 | |------|------| | 应用名 | Android security | | 包名 | tnbzgzykdy.nalryogycw.slsa | | 文件大小 | 297.98 KB | | MD5 | b1a49883e8f0be6ef9df8e52ccff5024 | | 证书MD5 | e89b158e4bcf988ebd09eb83f5378e87 | | 病毒家族 | Anubis | | 报毒情况 | VT（22/57） | | 发布时间 | 2023-08-28 00:55:06 UTC | 2.2 杀毒引擎检测结果 报毒比：22/57（约38.6%的杀毒引擎能检测到此样本） 3. 技术分析 3.1 静态分析 3.1.1 时间线分析 VT样本上传时间：2023-08-28 00:55:06 UTC 文件最后修改时间：2023-08-28 00:54:38 UTC 3.1.2 主要风险组件 frvvkgp ：负责上传位置信息 3.2 恶意行为分析 Anubis恶意软件具有多种恶意功能，主要分为以下几类： 3.2.1 信息窃取功能 短信相关操作 删除短信 上传发送的短信 上传接收的短信 上传已删除的短信 发送短信（通过感染设备发送指定内容到指定号码） 联系人信息 上传联系人信息 设备信息收集 上传设备已安装应用列表 上传已获取权限 通过拨号应用获取系统信息并上传 位置跟踪 上传位置信息 上传网络定位经纬度 上传GPS定位经纬度 键盘记录 键盘注入（打开指定页面、输入指定内容） 上传键盘记录信息 3.2.2 远程控制功能 屏幕操作 开始屏幕远程共享 开始屏幕录制 上传截屏文件 停止屏幕远程共享 录音功能 开始录音 前台录音 停止录音 文件操作 打开目录 下载文件 删除文件或目录 系统控制 锁屏 开启应用 终止键盘注入服务 开始远程命令执行 通信控制 开始呼叫转移 结束呼叫转移 3.2.3 权限滥用行为 服务滥用 开启无障碍服务 创建socket服务 停止socket服务 权限申请 申请权限 申请使用通知访问权限 申请定位权限 通知滥用 创建对话框弹窗 创建通知 发起特定通知（如"紧急消息：确认您的账户"） 3.2.4 其他恶意行为 发送垃圾邮件 打开URL 打开浏览器页面 加密、解密key 4. 防御建议 4.1 用户防护措施 应用来源控制 不要使用小众APP 下载应用认准各大应用商店或去大厂APP官网下载 安全意识 关注安全厂商安全新闻 发现被披露的木马APP出现在自己手机上时，及时联系专业安全人员处理 权限管理 定期检查应用权限 对不必要的权限请求保持警惕 4.2 企业防护措施 终端防护 部署移动设备管理(MDM)解决方案 实施应用白名单策略 威胁检测 部署移动威胁检测(MTD)解决方案 定期进行移动设备安全审计 员工教育 开展移动安全培训 建立安全下载和使用APP的规范 5. 分析总结 Anubis恶意软件家族具有以下特点： 功能全面 ：集信息窃取、远程控制、权限滥用等多种恶意功能于一体 隐蔽性强 ：仅38.6%的杀毒引擎能检测到该样本 危害严重 ：能够窃取几乎所有类型的用户敏感信息 持续更新 ：样本持续在传播，表明攻击者仍在活跃开发 安全研究人员和企业安全团队应持续关注该家族的演变，及时更新防护策略。