itz-danish/android-malware-analysis-whatsapp-upi-fraud

# 🚨 Android 恶意软件分析：WhatsApp UPI 网络钓鱼活动    ## 🧠 执行摘要 本项目对一个真实的 Android 恶意软件活动进行了完整分析，该恶意软件伪装为 **M-Parivahan 罚单应用程序**。 该恶意软件通过 WhatsApp 传播，窃取敏感数据（包括 UPI PIN），并使用 **Firebase（C2）** 和 **Telegram（数据泄露）** 与攻击者基础设施进行通信。 ## 🔥 关键亮点 - 使用 JADX 对 Android APK 进行逆向工程 - 使用 Frida 进行动态分析 - 识别基于 Firebase 的命令与控制 - 提取 Telegram 机器人令牌和聊天 ID - 捕获运行时数据和数据泄露行为 - 分析 UPI 网络钓鱼工作流程和传播机制 ## 🔁 攻击流程 受害者 → WhatsApp APK → 安装 → 权限 → 虚假 UPI → 数据捕获 → Firebase → Telegram ## 📱 恶意软件行为 - 虚假政府罚单界面 - 请求短信和电话权限 - 显示虚假 UPI 支付页面 - 捕获 UPI PIN 和敏感数据 - 运行持久的后台服务 ## 🔬 分析方法 ### 静态分析 - 使用 JADX 反编译 - 识别混淆字符串（XOR + Base64） - 发现 Telegram 和 Firebase 逻辑 ### 动态分析 - 使用 Frida Hook 运行时方法 - 拦截 Firebase 响应 - 捕获 Telegram API 调用 - 提取解密数据 ### 网络分析 - 观察到以下流量： - Firebase 数据库 - Telegram API - api.ipify.org ## 📡 C2 基础设施 ### Firebase rajj-ec1da-default-rtdb.asia-southeast1.firebasedatabase.app ### Telegram - 机器人令牌：6751695148:AAHEY... - 聊天 ID：5196490744 ## 📊 数据泄露 恶意软件发送： - 设备信息 - SIM 卡详情 - 网络运营商 - 潜在的 UPI 凭据 ## 💥 影响 - 通过 UPI 网络钓鱼进行金融欺诈 - OTP 拦截 - 账户泄露 - 通过 WhatsApp 大规模传播 ## 🧠 威胁分析 - 类型：金融网络犯罪恶意软件 - 技能水平：中级 - 基础设施： - Firebase（C2） - Telegram（数据泄露） - 活动风格： - 社会工程驱动 - 基于信任的传播 ## 🚨 泄露指标（IOC） | 类型 | 值 | |------|------| | Firebase | rajj-ec1da-default-rtdb | | Telegram | 机器人令牌 | | 域名 | api.telegram.org | ## 🛡 检测 - 监控 Telegram API 流量 - 检测 Firebase 连接 - 标记请求短信权限的应用 ## 🧠 展示的技能 - Android 逆向工程 - 动态分析（Frida） - 网络流量分析 - 恶意软件行为分析 - 威胁情报 ## ⚠️ 免责声明 本项目仅用于教育和研究目的。

标签：Android恶意软件分析, Android权限滥用, Firebase命令控制, Frida动态分析, IP 地址批量处理, JADX反编译, PCAP网络分析, Telegram数据泄露, UPI钓鱼攻击, WhatsApp恶意传播, 印度支付安全, 合规性检查, 威胁情报分析, 应用层协议分析, 恶意软件逆向工程, 数据外泄分析, 目录枚举, 社会工程学攻击, 移动安全, 网络犯罪调查, 自定义脚本, 金融木马