Flappy Bird 恶意程序详细分析

◆0 背景



Flappy Bird是在年初的时候非常火爆的一个小游戏，但是后来作者在2014年2月10日将其在Apple与Google商店下架，因为这游戏太容易让人上瘾了。

这时候就有很多恶意的Flappy Bird软件在商店上冒出来。

捕获到一个恶意版本的Flappy Bird可以在用户没有察觉的情况下发送短信。

App MD5：6c357ac34d061c97e6237ce9bd1fe003

所使用的工具：

DroidBox 一个动态分析工具，他为我们展示了一个程序运行时具体在做什么 Android Emulator 包含在Android SDK - 用来模拟运行APK文件
 dex2jar - 反编译可执行文件 (.dex/.odex) 输出 .jar 文件
 JD-GUI 显示 jar 文件java源代码的GUI工具

本次分析分为两个部分：

动态分析 静态分析

在动态分析截断，我们会让app在模拟环境中运行，看看他访问哪些文件和网站，这个是我们在静态分析中寻找相关代码的关键。

在静态分析截断，我们会逆向APK文件出源代码，这让我们能从源代码中找出恶意行为发生的原因。

◆1 动态分析



使用的最主要的工具就是DroidBox。

我在Linux Ubuntu上装了测试，没有发现什么问题。

安装DroidBox之前你需要安装Python包括pylab跟matplotlib库。

Python安装之后需要在http://developer.android.com/sdk/index.html下载安装Android SDK

在终端下输入下面两条命令来导入SDK的路径，这样我们在任何目录可以直接使用SDK相关命令。

#!bash
export PATH=$PATH:/path/to/android-sdk/tools/
export PATH=$PATH:/path/to/android-sdk/platform-tools/

下载最新的DroidBox：

#!bash
wget http://droidbox.googlecode.com/files/DroidBox411RC.tar.gz

解压缩进入目录：

#!bash
tar -zxvf DroidBox411RC.tar.gz
cd DroidBox411RC

现在我们可以建立一个Android虚拟主机创建一个Android Nexus4的设备运行Android 4.2.1版本。

android

进入DroidBox目录，运行Android模拟器

#!bash
./startemu.sh

等待启动完之后，安装运行Flappy Bird：

#!bash
./droidbox.sh flappy-bird.apk

你将在终端看到：


#!bash ____ __ ____
/ _` __ / / _` / _ __ ___ /_ _ L ___ __ _ /`'__ __`/ /'_` _