AyusmanNanda/whatsapp-android-trojan-analysis

# 📱 Android 恶意软件分析 —— 伪造 CSC Group 应用 (`Aayushman.apk`) 本仓库记录了对一个可疑 Android 应用程序 (`Aayushman.apk`) 的静态和动态分析，该应用伪装成合法的 CSC Group 或 Ayushman Bharat 应用。调查揭示了潜在的恶意行为，包括 SMS 拦截和未授权的数据访问。 ## 🧾 应用元数据 - **应用名称：** CSC Group - **包名 (Package Name)：** `com.shootii.rooomu` - **APK 文件：** `Aayushman.apk` - **提取的源码：** `Aayushman_apktool/` (通过 Apktool) - **使用的反编译器：** JADX, Ghidra - **签名：** 是 (v1, v2, v3) ## 📛 可疑指标 - **硬编码电话号码：** `+91 9381172328` - **识别出的邮箱 (通过 Truecaller)：** `kavikumar9144@gmail.com` - **伪装目标：** 政府福利/通讯应用 - **请求的危险权限：** - `READ_SMS`, `RECEIVE_SMS`, `SEND_SMS` - `READ_PHONE_STATE`, `CALL_PHONE` - `INTERNET`, `ACCESS_NETWORK_STATE` - **可疑接收器 (Receivers)：** - `S1m2s3R4e5c6e7i8v9e0r` - `S1m2s3L4i5s6t7n8e9r0` - **存在 Firebase 组件：** 暗示远程通信或数据同步 ## 📂 Manifest 中的关键组件 ``` ``` - 这些接收器可以拦截 SMS，并可能提取 OTP 或敏感内容。 ## 🧪 分析环境设置 | 工具 | 用途 | |--------------|----------------------------------| | **Apktool** | 反编译资源 + manifest | | **JADX** | 反编译 Java 代码 | | **Ghidra** | 底层 smali/native 检查| | **LSPosed** | 运行时 Hook 函数 | | **Magisk** | 用于动态分析的 Root 访问权限 | ## 🚩 行为摘要 - 使用广播接收器 (Broadcast Receivers) 读取所有传入的 SMS - 将信息（例如 OTP）发送或转发到硬编码的号码 - 使用 Firebase 和权限来保持持久性并逃避检测 - 可能伪造政府界面以获取用户信任 - 禁用应用图标以对用户隐藏 ## 🖼️ 截图 ### Truecaller 搜索  ### 发现的详细信息截图  ## 📌 IOC (威胁指标) - **APK 哈希值：** *sha256sum Aayushman.apk ee947e225bc48f1fab4db8fce79a91be4ae3f6c9da7fab23806e0f43912fd482* - **电话号码：** `+91 9381172328` - **电子邮箱地址：** `kavikumar9144@gmail.com` - **包名 (Package name)：** `com.shootii.rooomu` ## 🛡️ 建议 - 将该应用视为**恶意软件** - 在终端中封锁列出的电话号码和电子邮件 - 通知相关当局或 CERT-In (印度) - 教育用户警惕通过基于 SMS 的应用克隆进行的钓鱼攻击 ## ✍️ 作者 - 恶意软件逆向分析：`ayusman` - 联系方式：*https://github.com/IC7400A* ## 📝 免责声明 本项目仅用于教育和信息目的。请勿将这些知识用于不道德的活动。

标签：Android安全, Android恶意软件, Apktool, APK反编译, DAST, ESC8, Ghidra, JADX, LSPosed, Magisk, OTP窃取, WhatsApp蠕虫, 云安全监控, 云资产清单, 恶意软件分析, 木马分析, 权限滥用, 目录枚举, 短信劫持, 社会工程学, 移动安全, 逆向工程, 金融诈骗, 钓鱼应用, 隐私泄露, 静态分析