ptrace注入型病毒“聊天剽窃手”分析

概述

　　“聊天剽窃手”Windseeker是一款间谍软件，它使用了ptrace进程注入技术，能够对微信和QQ的聊天记录进行监控。

       软件安装后的桌面图标和启动界面如图所示：

                       

行为分析

该应用首先获取手机root权限，将assert目录下的inject_appso、libcall.so、conn.jar三个文件复制到三个不同的路径下：

 

（1）将libcall.so复制到/system/lib/目录下；

 

（2）将inject_appso复制到/system/bin目录下

 

（3）将conn.jar复制到/data/data/qy/目录。

 

然后开启一个服务，进行进程监控，检查新启动的activity是否与前一个activity属于同一包，是否有微信或者QQ的activity启动，即监控用户是否正在使用微信或者QQ聊天。

 

如果检测到有微信或者QQ在运行，则通过执行命令"inject_appso 微信或者QQ应用包名 /system/lib/libcall.so  QQ_SERVER/MM_SERVER"，运行inject_appso程序对聊天进程进行注入。

 

以下为ptrace进程注入代码：

 

同时运行libcall.so，加载conn.jar文件，获取聊天记录。

 

conn.jar会劫持聊天窗口和联系人窗口，获取qq或者微信的聊天内容和时间，qq消息发送人、接收者、qq好友的qq号，微信聊天者的信息。

 

它不仅能够监控页面内容，而且能够通过获取/data/data/com.tencent.mobileqq/目录或者/data/data/com.tencent.mm/中的.db数据库文件，获取聊天历史记录，同时还能获取最近联系人信息。

  

当该应用监听到有聊天信息更新时，就会将获取到的新的聊天信息上传到远程服务器http://tingfengzhe.sinaapp.com/record.php上。没有消息更新则继续监听。