latosa28/Android-Malware-Analysis

# 📱 Android 恶意软件分析项目

Android 恶意软件家族的综合静态与动态分析
网络安全硕士学位 - 比萨大学

## 📖 项目概述 本项目对多种 Android 恶意软件家族进行了深入的行为分析。主要目标是识别恶意 payload，了解传播方法，并分析命令与控制（C2）通信模式。 研究涵盖三大主要恶意软件类别：**勒索软件木马**、**间谍软件木马** 和 **下载器木马**，分析了它们对 Android 生态系统的影响及其利用的漏洞。 ## 🛠️ 分析工具包 为了进行严格的静态和动态分析，使用了以下专业工具： * **MobSF (Mobile Security Framework)：** 自动化静态分析和运行时行为监控。 * **VirusTotal：** 基于签名的扫描和入侵指标（IOC）识别。 * **Ghidra：** 对原生 C/C++ 共享库（`.so` 文件）进行逆向工程。 * **JD-GUI：** 用于检查 `.class` 文件控制流和逻辑的 Java 反编译器。 * **Genymotion：** 受控的 Android 模拟环境，用于安全的动态执行。 ## ☣️ 已分析的恶意软件家族 ### 1. WannaLocker (勒索软件木马) * **行为：** 灵感来源于桌面版 WannaCry 勒索软件，它通过加密外部存储（SD 卡）上的文件来攻击 Android 设备。 * **技术细节：** * 使用硬编码且不安全的初始化向量（IV）实现 **AES-CBC** 加密算法。 * 利用 Android Manifest 中的 `activity-alias` 动态更改应用的名称和图标，增加了手动清除的难度。 * 专门针对较旧的 SDK 版本，以最大程度兼容存在漏洞的设备。 ### 2. SMSSpy (间谍软件木马) * **目标：** 拦截并窃取 SMS 消息，以绕过双重验证（2FA）并窃取银行的一次性密码（OTP）。 * **关键功能：** * 通过伪装成官方政府或机构应用程序使用社会工程学。 * 注册高优先级的 Broadcast Receiver（优先级 1000），以便在用户收到通知之前拦截传入的消息。 * 具备备用机制，如果主服务器不可达，会将 C2 流量伪装成针对常见域名的合法请求。 ### 3. MalBus (下载器木马) * **活动：** 通过针对特定地区用户群体的欺诈性公共交通应用程序进行分发。 * **规避技术：** * 核心恶意逻辑嵌入在 **原生 C++ 库**中，使得基于 Java 的标准静态分析完全无效。 * 利用 **Janus 漏洞**，允许攻击者在不破坏原始数字签名的情况下向 APK 中注入恶意代码。 ## 📊 主要发现与漏洞 分析发现了现代恶意软件常利用的几个关键弱点： * **权限滥用：** 过度请求敏感权限，例如 `READ_SMS`、`GET_TASKS` 和 `READ_EXTERNAL_STORAGE`。 * **不安全的 Manifest 配置：** 启用了 `debuggable="true"` 和 `allowBackup="true"` 标志进行部署。 * **反分析措施：** 实现字符串混淆和环境检查（模拟器检测），以阻碍自动化沙箱和调试。 ## 👥 作者 * **Giuseppe Pio La Tosa** * **Giuseppe Scarabaggio** * **Nicola Lepore**

学年 2024/2025 - 课程：安全系统的形式化方法

标签：AES加密, APK反编译, Ask搜索, C2通信, DAST, DNS 反向解析, Genymotion, Ghidra, IOCs, JD-GUI, JS文件枚举, MalBus, MobSF, SMSSpy, VirusTotal, WannaLocker, 云安全监控, 云资产清单, 勒索软件, 合规性检查, 安卓恶意软件, 恶意软件分析, 木马, 毕设项目, 目录枚举, 移动安全, 网络安全, 网络安全课程, 载荷分析, 逆向工程, 间谍软件, 隐私保护, 静态分析