Loading...   记录2015年8月,一次应急事件中的样本分析,标题就叫《一个来自老朋友的“短信”》吧~ 8月的一天某个渠道(因为不能说)过来一个安卓样本,名字叫“相册.apk”,后面就开始了这个样本的分析。 <hr /> <!--more--> 起初某人的手机收到了一封短信: ![sms.png][1]   短信内有个链接,再点击链接之后会打开浏览器并自动下载apk到手机,然后会弹出安装界面,这时候如果点了安装,那么这个样本就妥妥的安装在你的手机里了。( 当然你觉得这么脑残的传播方式,怎么会有人中招,这个后面咱们在好好探讨。。。先说样本。   样本安装界面弹出的权限包括:**读取手机状态、直接呼叫电话**,**编辑、读取、发送短信**,**读取联系人数据**,**完全的访问互联网权限**,以及其他权限。 ![权限1.png][2] ![权限2.png][3] ## 0X01 逆向分析 <hr /> 1.Zip解压   *.apk > Zip > classes.dex > classes.jar   Tools : Zip / dex2jar 2.获取smali代码   *.apk > smali   Tools : Apktool 检查反编译出来的伪代码,找到一个相册app的一些不该有的功能函数。 **遍历收件箱:** ![遍历收件箱.png][4] **遍历手机通讯录:** ![遍历通讯录.png][5] **发送邮件代码:** ![发送邮件代码.png][6] ## 0X02 找到帐号密码 <hr /> 1.分析并审计反编译出来的伪代码 ![找到帐号密码.png][7]   分析smali代码发现getPasswordAuthentication()函数,那么通常认证函数的参数就是账号密码,所以通过获得它的参数来获取账号密码。 **可以寻找有关账号密码的关键字,如:user,password,authentication等**。 2.注入smali代码获得账号密码 ![输入smali代码.png][8] **PrintMyLog():将传入的参数以String格式打印出来** 3.打包修改后的smali代码并签名发布 ![签名1.png][9] ![签名2.png][10] 4.使用DDMS接收print出来的日志,得到结果 ![得到结果.png][11] 5.登录邮箱 ![登录邮箱.png][12] ## 0X03 分析作案手法 <hr /> **作案手法推测:** 1.伪基站\钓鱼\定向群发 2.受害者感染通信录好友 **作案工具**(app+针对通讯录的钓鱼) ![作案工具.png][13] **危害场景:** 基于信任关系,父母、亲人、同事、老板、同学、师长、基友… … ## 0X04 balabala <hr /> 1.增强个人安全意识,不熟悉、不了解、不确定的链接不要打开! 2.Android系统设置中“未知来源”选项禁止勾选! 3.不安装来源不明应用! 信息安全任重道远~~ ## 0X05 附录 <hr /> **木马使用者手机号码:**   15168430384   已验证为黑卡,未实名认证. **传播站点:**   teyej.com、cqqcj.com、nqonm.com、dmlzb.com、thtbn.com   主要是来自香港的 VPS. *本文为`wooyaa`原创,转载请提及`wooyaa`以及原文链接,其他均参照[MIT][14]协议。感谢[`Rootkiter`][15]在Android逆向技能上给予的帮助。 [1]: https://wooyaa.me/usr/uploads/2023/04/2963822243.png [2]: https://wooyaa.me/usr/uploads/2023/04/3358284817.png [3]: https://wooyaa.me/usr/uploads/2023/04/2578940287.png [4]: https://wooyaa.me/usr/uploads/2023/04/897732264.png [5]: https://wooyaa.me/usr/uploads/2023/04/2363607926.png [6]: https://wooyaa.me/usr/uploads/2023/04/938252150.png [7]: https://wooyaa.me/usr/uploads/2023/04/2853919559.png [8]: https://wooyaa.me/usr/uploads/2023/04/3415214088.png [9]: https://wooyaa.me/usr/uploads/2023/04/3498906101.png [10]: https://wooyaa.me/usr/uploads/2023/04/3048992886.png [11]: https://wooyaa.me/usr/uploads/2023/04/780086164.png [12]: https://wooyaa.me/usr/uploads/2023/04/405911213.png [13]: https://wooyaa.me/usr/uploads/2023/04/1378665071.png [14]: https://wooyaa.me/usr/uploads/2023/04/3346014465.png [15]: http://rootkiter.com/ 最后修改:2023 年 04 月 28 日 © 允许规范转载 打赏 赞赏作者 支付宝微信 赞 0 如果觉得我的文章对你有用,请随意赞赏