原创：10086手机木马分析手记（2015）

去年的一篇老文章，也搬来这里凑个数吧。

起因。
2015年11月8日星期日 10：11 ，手机收到10086发来的信息，内容如下：
尊敬的用户：您的话费积分满兑换237.50现金条件，手机登录积分商城 gx10086m.com 按提示可进行兑换。【中国移动】       

分析：
看网址，觉得是骗子短信。来自10086，肯定是伪基站发出。今天一楼值班，简单进行了分析。
（一）网站gx10086m.com分析
1、网站IP为：103.55.25.49，属于香港特别行政区 Cloudie公司（ICP公司，提供服务器租用，百度一下就知道公司是干嘛的了）
2、打开网址截图如下：

很粗糙的感觉，有没有？看源码：
除了左上角的这部分所于诈骗网站，其它部分的超链接指向了http://wap.10086.cn，真正移动公司的WAP网站上。
3、我故意输入联通的号段13000000000，点查询后如果如下：

看到这个结果，我也是醉了。

4、网站页面从index.asp转入到index1.asp,效果如下：

看源码就知道，无论你输入什么号码，或者直接输入这个地址进来，显示的都是可用2375分，可以换237.50元。做戏做全套嘛，太粗糙啦，呵呵。

5、go on!页面跳转到wap.asp

开始下重手了，WAP.asp这个页面上，要求用户填写姓名、开户行、银行卡号、银行卡密码、身份证号、银行预留的手机号。这也太明目张胆了吧？
填写完的信息，经过以下代码进行简单校验后，使用POST方式提交到提交submit.asp页面。
if(cnName==""){
$(".warn").text("请您输入姓名。");
$(".warn").show();
return false;
}else if(!fivekey_validate_username()){
$(".warn").text("姓名不符合规范，请您重新输入。");
$(".warn").show();
return false;
};

if(idcard==""){
$(".warn").text("请您输入银行卡号。");
$(".warn").show();
return false;
}else if(validate_mobile1()){
$(".warn").text("银行卡号不符合规范，请您重新输入。");
$(".warn").show();
return false;
};

if(pwd1=="" && idType=="1"){
$(".warn").text("请您输入卡密码验证。");
$(".warn").show();
return false;

};

if(idNo1==""){
$(".warn").text("请您输入身份证号码。");
$(".warn").show();
return false;
}else if(validate_citizenid()){
$(".warn").text("身份证号码不符合规范，请您重新输入。");
$(".warn").show();
return false;
};
if(shouji==""){
$(".warn").text("请您银行绑定的手机号码。");
$(".warn").show();
return false;
}else if(validate_mobile()){
$(".warn").text("手机号码不符合规范，请您重新输入。");
$(".warn").show();
return false;
};

这段代码很简单，不解释了。有兴趣的同学可自己研究下，也可以通过抓包，自己伪造出符合规范的随机数据提交到这个页面，干扰骗子的后台数据，搞晕骗子。呵呵。

6、下一步：




点击确定以后，就转到页面down.asp,然后下载一个22.1Kb 的APK文件（10086.apk）,其图标就是中国移动的图标，很有欺骗性。

到这里，网站的分析就差不多了，接下来就可以对这个网站进行各种注入、漏扫、暴破、猜解，然后去拿后台数据。
网站未发现注入点，旁注也没有条件，上面开放着WEB/FTP/3389，FTP无密码，3389……这个不是今天的重点，先放一下。

（二）APK分析
1、行为分析：无网络行为，通信均通过短信进行。

2、逆向分析：别看这个APK只有21Kb,功能可不得了。
首先安装包的包名，为了过安全软件，故意命名为ji.yj.ur.sadfsaf234412，显示的名称为“掌上营业厅”，图标为中国移动的标志。

申请的权限：
读取电话的状态和串号
读取/编辑短信或彩信内容
接收/发送短信
获取精确的位置信息
修改/删除SD卡上的内容
自启动
关闭其它应用程序
置于其它应用程序之上显示
尝试访问受保护的数据
安装成功后，启动APP就会自动启动一个后台服务。这个后台服务的功能为：
在通知栏显示“10086积分兑换”的字样。
注册接收短信的广播，目的为拦截用户正常的短信。
当后台服务启动时，自动发短信给"15578495170",内容为"服务启动成功，到期时间：2015-12-31 10:00:00"
当后台服务停止时，自动发短信给"15578495170"，内容为"拦阻服务停止，使用结束时间：2015-12-31 00:00:00"

这里出现了骗子的电话了：15578495170，广西南宁的联通号段。JC叔叔们，别说没告诉你啊。

继续分析：代码里还实现了以下功能：
对号码"15578495170"发送的信息内容进行过滤，也就是用户看不到与号码"15578495170"发送的短信。
接收到短信指令时，会开启或者关闭后台服务，后台服务的功能上述已经描述，不重复。
短信指令为：回复com#false关闭com#true开启。


（三）追查
略


总结
使用伪基站模拟10086向用户发送带有gx10086m.com网址的短信，内容为积分兑换。
用户访问gx10086m.com网站后，填写姓名、开户行、银行卡号、银行卡密码、身份证号、银行预留的手机号等资料
坏人通过登录网站gx10086m.com的后台，得到用户填写的姓名、开户行、银行卡号、银行卡密码、身份证号、银行预留的手机号等资料。
用户下载并安装10086.APK，APK启动后发短信通知坏人，并开始拦截用户的正常短信。
坏人收到短信后，通过在后台比对用户的手机号码，关联出用户的银行卡号、姓名、开户行、银行卡密码、身份证号、银行预留的手机号等信息，并使用网银登录用户帐号。
银行系统将短信验证码发送到用户手机上时，被10086.APK木马拦截并转发给坏人。
坏人收到验证码后，就可进行转帐提款。
用户的财产受到损失，用户变成受害者！！！
坏人发短信关闭手机后台服务。
坏人等待下一个受害者
……

这就是：许多受害者说：“我的卡从没给过别人，我的验证码也没有告诉过任何人，为什么钱还是被转走了呢？”的原因。

仅与此文提醒广大手机用户：注意加强防范意识！