wooyaa的学习笔记

生命不息,折腾不止

  记录2015年8月,一次应急事件中的样本分析,标题就叫《一个来自老朋友的“短信”》吧~
8月的一天某个渠道(因为不能说)过来一个安卓样本,名字叫“相册.apk”,后面就开始了这个样本的分析。


 

起初某人的手机收到了一封短信:

sms.png

  短信内有个链接,再点击链接之后会打开浏览器并自动下载apk到手机,然后会弹出安装界面,这时候如果点了安装,那么这个样本就妥妥的安装在你的手机里了。( 当然你觉得这么脑残的传播方式,怎么会有人中招,这个后面咱们在好好探讨。。。先说样本。
  样本安装界面弹出的权限包括:读取手机状态、直接呼叫电话编辑、读取、发送短信读取联系人数据完全的访问互联网权限,以及其他权限。
权限1.png 权限2.png

 

0X01 逆向分析


1.Zip解压

  .apk > Zip > classes.dex > classes.jar
  Tools : Zip / dex2jar
2.获取smali代码
  
.apk > smali
  Tools : Apktool

检查反编译出来的伪代码,找到一个相册app的一些不该有的功能函数。
遍历收件箱:
遍历收件箱.png

遍历手机通讯录:
遍历通讯录.png

发送邮件代码:
发送邮件代码.png

 

0X02 找到帐号密码


1.分析并审计反编译出来的伪代码

找到帐号密码.png

  分析smali代码发现getPasswordAuthentication()函数,那么通常认证函数的参数就是账号密码,所以通过获得它的参数来获取账号密码。
可以寻找有关账号密码的关键字,如:user,password,authentication等

2.注入smali代码获得账号密码
输入smali代码.png

PrintMyLog():将传入的参数以String格式打印出来

3.打包修改后的smali代码并签名发布
签名1.png

签名2.png

4.使用DDMS接收print出来的日志,得到结果
得到结果.png

5.登录邮箱
登录邮箱.png

 

0X03 分析作案手法


作案手法推测:

1.伪基站\钓鱼\定向群发
2.受害者感染通信录好友

作案工具(app+针对通讯录的钓鱼)
作案工具.png

危害场景:
基于信任关系,父母、亲人、同事、老板、同学、师长、基友… …

 

0X04 如何防御


1.增强个人安全意识,不熟悉、不了解、不确定的链接不要打开!
2.Android系统设置中“未知来源”选项禁止勾选!
3.不安装来源不明应用!

信息安全任重道远~~

 

0X05 嫌疑人信息


木马使用者手机号码:
  15168430384
  已验证为黑卡,未实名认证.

传播站点:
  teyej.com、cqqcj.com、nqonm.com、dmlzb.com、thtbn.com
  主要是来自香港的 VPS.

 
*本文为wooyaa原创,转载请提及wooyaa以及原文链接,其他均参照MIT协议。感谢Rootkiter在Android逆向技能上给予的帮助。


添加新评论 »

在这里输入你的评论...