从对等方接收数据时失败 病毒首先要求用户给予相应的权限，如呼叫摄像头，记录，获取地理位置，获取呼叫记录，阅读短信等，为后续窃取敏感信息做好准备。目标用户。 然后，病毒的Pms和Pmscmd模块将确认当前程序是否已获得关键权限。如果未获得相应的权限，则再次启动权限应用程序请求以确保权限可用于信息窃取。 Step1 敏感权限获取 主体恶意行为的执行主要取决于远程服务器发送的指令。病毒在启动后立即开始运行恶意模块，并通过https接收远程控制服务器发送的控制指令信息。基于指令信息执行相应的恶意行为，最终实现窃取私人信息和自我更新代码的目的。接下来我们将详细介绍该过程。 ReSeRe是一个自启动项目，用于启动特洛伊木马的主要恶意服务MySe： MySe是这个程序的主要恶意模块，onCreate将启动线程F： 线程F包含接收远程控制命令，解析远程控制命令和执行恶意操作： 远程控制命令包含大量用户隐私信息窃取指令，例如窃取用户文本消息，联系人，呼叫记录，地理位置，浏览器信息，手机文件信息，网络信息，基本手机信息，私人照片，录音等，收集然后将信息上载到远程服务器。 Step2 执行远控指令 通过ReSe恶意模块记录用户环境： MyPhRe主要用于监听呼叫： 四是可追溯性分析 通过分析，我们从代码中找到了用于通信的C＆amp; C服务器： 在解密上述地址之后，获得明文C＆amp; C地址，并且解密的密钥是Bar12345Bar12345： 同时，根据C＆amp; C服务器的域名，我们在去年黑帽大会发布的报告中找到了相同的域名地址。原始报告记录了PC端操作Manul用于一系列攻击的服务器信息，例如网络钓鱼（如下所示），其中包括adobeair.net域名，这也证实了我们捕获的Android端。该病毒起源于原始报告中提到的Operation Manul组织的可能性。 图例：上图来自黑帽大会上发布的报告。 在使用Whois撤销域名adobeair.net后，我们发现了一个疑似开发者的电子邮件地址：iainhendry@blueyonder.co.uk，其持有adobeair.net域名的时间与原始报告提出的攻击时间一致。 同时，通过进一步搜索，我们查询了邮箱用户开发的网页http://www.androidfreeware.net/developer-3195.html进行应用程序升级。他们推广的Android应用程序都是为他们开发的。因此，猜测邮箱用户也应该是具有Android编程功能的开发人员。这也与Android间谍软件活动的可追溯性有关。 五，总结 近年来，随着智能手机和移动网络在全球的普及，对移动端的针对性攻击逐渐增多，并且存在与PC高度集成的趋势。 这两者经常相互合作，以获取具有个人身份属性的高价值信息，这成为恶意攻击的重要组成部分。 同时，由于移动设备的边界属性以及高社交和高隐私属性，一旦攻击成功，很可能导致雪崩效应，并且损失将继续扩大。 从对等方接收数据时失败