0x00
背景
中午准备小眯一会时,看到大学同学在朋友圈秀了张图,顺带发的说说
----
“致
10
年后的自己”。我就随手点了一下,看到了下图的信息。作为初入安全分析没多久的菜鸟,看到这个图片就大概知道是一个小马,尽管自己本身只是
PC
分析的,还是带着兴趣简单看了一下自己遇到的第一个移动小马。
0x01
工具相关
由于是自己第一次分析过移动端的小马,就各种搜帖子看,最后确定了
2
款安卓逆向工具(其功能大致差不多):
Androidkiller
和
ApkIDE
。个人比较中意
AndroidKiller
的界面,下面的分析就靠它了,还有一点就是要安装
java SDK
的环境。
0x02
样本简单分析
1
、获取
APK
样本
Chengjidan.apk(MD5:C97612EAFBF4047277AA82737944C265)
2、样本主要功能
本身这个小马就没有什么加固和混淆,属于简单马,功能也比较简单,直接上
AndroidKiller
开撸。查看其字符串,全是明文信息,真没技术含量(特么已经是盗取别人信息,起码也得给自己的邮箱和密码加一下密吧,估计这人不懂技术找人买的马吧,因为在其他地方有看到
base64
算法及解码的地方),下面就简单说明一下吧。
①获取用户的通讯录信息后,直接上传到小黑客的新浪
VIP
邮箱上。
②获取被害者手机的信息后,同样也是直接上传到小黑客的新浪
VIP
邮箱里
③ 还有其它小功能,比如替换相关的字符串信息,如“验证码”替换为“演码”等等。
此马功能简单明了,就不过多的说明了,可能有些地方没分析到或者分析有误,大神们勿喷,下面就开始追溯源头了。
0x03
黑客追踪
1
、首先我们通过上面分析获取的邮箱账号及密码进行登陆,查看其小马是否还存活。登陆成功后,发现邮箱最前面收到的邮件新鲜的很。看之前的十多分钟没白忙活,总算有鲜活的数据了。全部是受害人的短信信息及通讯录信息。
查看其邮箱注册信息,发现此邮箱也是最近才开通VIP会员的,看看其注册时间显示是2016年5月10日,初步分析很难判断其是否是放马人的邮箱。
通过手机关联到了刚刚注册于浙江车贷网,并且在本月的13号才注册的,现在可以判断一号嫌疑人:万军(假名成分比较多) 电话:13104884224
2、经过查看邮箱信息,我们可以发现此邮箱保存了5月20号到今天的所有数据,其发送给受害人的手机号也是随机变化,我们在其邮箱中通过查看信息列表,获取了其最近使用的域名也是在变化的。
下面我们通过
xuexioa.com
反查注册邮箱,关联到了注册cuixiaowen168@163.com
以下是在邮箱信息中用于传播
apk
小马的域名列表:
xuexioa.com
xeuxiao.com
shenmecs.com
dfea.win
ccjdan.com
luijr.com
上面的域名或多或少都与成绩单有关,传播者主要就是抓住国内父母对子女成绩过分的在意,特意伪装成绩单的域名。这里我得和大家扯扯了,本身我们国内父母望子成龙(望女成凤)的思想很重,所以对待神马鬼考试成绩单非常看重,神马成绩下滑啊,成绩排名靠后啊、考试不及格等等……不得不说放马人也是抓住了国内父母的紧张孩子学习成绩的心态了。对于那些对互联网安全接触比较少的,基本都是中招了。
其次就是放马人通过讯录就能获取到相关人的真实姓名,然后在给发送信息的时候,有指名道姓的,让那些缺少安全意识的人,是该点击链接呢,还是点击链接呢?同时通信录里面的电话列表就是其后面的感染目标了。所以只要一人中招,其手机的里面的亲朋好友总会有个中招的吧,这样一直运转,直接就是树状发展了,感染面还是挺大的。
3
、通过cuixiaowen168@163.com关联搜索到了一批伪装移动10086域名进行诱导人们去点击链接,下面是目前搜索到的域名信息:
ftdea.com
bj110086.com
10086jyih.com
i110086.com
l0086ijfa.com
jsi10086.com
ij10086.com
目前利用互联网就搜到这儿了吧,其放马人所有关联到的域名都是使用邮箱
cuixiaowen168@163.com来注册,放马人可以称呼为崔某吧
0x04
总结
其实现在这种发虚假短信诱骗用户点击链接的方法屡见不鲜,其实手段并不高明,只要平时保证自己的安卓机别乱
root
权限,别随意去点击不明号码发来的链接,在去安装几个手机防毒防木马的软件,一般都能检出为木马。做为移动逆向不怎么懂的小白,写这篇科普文章鸭梨蛮大的,大神们勿喷哈。后面空了会花些时间学习一下移动方面的样本分析。
一直想做个系列的教程,手里也有很多自己分析过的报告,平时一忙就没去整理上传。下次抽空集体发出来吧。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
