對HUAWEI-ManagedProvisioning的一次不完整分析

分析思路

• 關注點1：AndroidManifest.xml是Android應用的入口文件，包含有APP服務的權限、廣播和啓動位置。

• 關注點2：涉及到修改系統的函數，setWifiEnabled()、InstallPackage()。

1．樣本概況

在Android 7.0的系統裏捕獲到這個APK包。但不肯定是不是病毒。經過Android模擬器安裝這個APK，確認這個APK只適用於android 4.5以上的系統纔可運行。而後經過靜態反編譯技術對APK分析發現該APP能夠變動手機Wifi狀態和安裝APK包。

1.1 樣本信息

病毒名稱：ManagedProvisioning.apk
MD5：7adda1698e55d0904c96cb7c1e2a9f38
版本信息：Ver：7.0(24) SDK：24 TargetSDK：24
病毒主要行爲：變動WIFI狀態，安裝APK包

1.2 測試環境及工具

Android版本：Android 4.0、Android 4.5
分析工具：AndroidKiller、JEB

2．具體行爲分析

2.1 主要行爲

主要行爲結構圖

2.1.1 惡意程序對用戶形成的危害

WifiInfo變動Wifi狀態

代碼中經過setWifiEnabled()函數修改Wifi狀態

圖1

InstallPackageTask安裝APK包

代碼中經過installPackage()函數修改安裝本地的APK

圖2

2.1.2 惡意程序在Androidmanifest.xml中註冊的惡意組件

(1)權限相關()

// 容許應用程序安裝android包
android.permission.INSTALL_PACKAGES

// 容許應用程序啓用或停用其餘應用程序組件
android.permission.CHANGE_COMPONENT_ENABLED_STATE

// 容許應用程序更改WIFI狀態
android.permission.CHANGE_WIFI_STATE

// 容許應用程序將手機系統恢復爲出廠設置
android.permission.MASTER_CLEAR

// 開機時自動啓動
android.permission.RECEIVE_BOOT_COMPLETED

// 容許應用程序修改系統設置方面的數據
android.permission.WRITE_SETTINGS

// 容許應用程序修改系統的安全設置數據
android.permission.WRITE_SECURE_SETTINGS

(2)服務/廣播

建立服務名爲：

1)ProfileOwnerProvisioningService

2)DeviceOwnerProvisioningService

2.2 惡意代碼分析

2.2.1 惡意程序的代碼分析片斷

AddWifiNetworkTask經過setWifiEnabled()函數變動Wifi狀態

圖1

WifiInfo經過setWifiEnabled()函數變動Wifi狀態

圖2

WifiInfo獲取Wifi安全類型、Wifi密碼

圖3

InstallPackageTask經過InstallPackage()函數安裝APK包

圖4

DownloadPackageTask保存的下載路徑爲

/download_cache/managed_privisioning_downloaded_app_XXXX.apk

圖5

3．總結

鑑於該APK有HUAWEI公司的簽名，且功能用於設置Wifi狀態與安裝APK包，沒法判斷是否爲惡意病毒。