HimaniAsodariya/android-exploitation-malware-analysis

# android-exploitation-malware-analysis ## 概述 本项目专注于使用恶意软件技术进行 Android 攻击，并执行静态和动态恶意软件分析。 目标是模拟现实世界的网络攻击场景，并使用数字取证技术分析恶意 APK 的行为。 ## 目标 - 使用基于特洛伊木马的恶意软件攻击 Android 设备 - 使用 MSFVENOM 生成有效载荷 - 获取远程访问权限并执行后利用操作 - 执行静态和动态恶意软件分析 - 识别恶意通信和妥协指标（IOCs） ## 工具与技术 - Kali Linux - Metasploit Framework - Android 模拟器（Genymotion / NOX Player） - MobSF（移动安全框架） - ADB（Android 调试桥） - SpyNote（Android RAT） - VirtualBox ## 方法论 ### 攻击阶段 1. 配置 Android 模拟器 2. 使用 SpyNote 生成恶意 APK 3. 嵌入： - IP 地址 - 端口号 4. 通过云共享部署有效载荷 5. 在目标设备上执行 APK 6. 建立反向连接 ### 后利用阶段 - 访问设备文件 - 监控通话、短信和联系人 - 捕获麦克风和摄像头数据 - 获取设备信息（IMEI、GPS 等） ## 分析阶段 ### 静态分析 - 反编译 APK - 清单分析 - 权限检查 ### 动态分析 - 行为监控 - 网络流量分析 - C2 通信跟踪 ### 使用的工具 - MobSF - APKiD - Cerbero Profiler ## 妥协指标（IOCs） - APK 中可疑的权限 - 硬编码的 C2 IP 地址 - 异常的网络流量 - 隐藏的应用程序行为 ## 结果 - 成功使用 Android 特洛伊木马建立远程访问 - 识别出恶意软件家族特征 - 提取了攻击者 IP 和通信模式 - 演示了第三方 APK 安装的风险 ## 限制 - 框架可能无法在更新的 Android 版本上运行 - 安全补丁可能破坏攻击技术 - 模拟器测试与真实设备存在差异 ## 伦理声明 本项目仅用于教育和研究目的。 不得在未经授权的系统中使用这些技术。 ## 作者 **Himani Asodariya**

标签：ADB, Android Emulator, Android恶意软件分析, Android逆向, APKiD, APT, C2通信, Cerbero Profiler, Genymotion, IOC, IP 地址批量处理, Manifest分析, MobSF, MSFVenom, NOX Player, Payload生成, SpyNote, 云安全监控, 云资产清单, 协议分析, 反向连接, 恶意APK, 搜索语句（dork）, 数字取证, 木马, 权限提升, 权限检查, 移动安全框架, 网络安全审计, 网络流量分析, 自动化脚本, 虚拟化安全测试, 行为监控, 逆向工程, 静态分析