WooYun: 仿冒電信運營商掌上營業廳的大規模釣魚事件(大量用戶銀行卡中招CVV2與密碼泄露)
然后有大牛在某電信網廳釣魚站找到一款android app讓我看看,就有了接下來的分析。
拿到應用后先裝到測試機上觀察下,啟動程序后立即監控到其向15501730287號碼發送短信,內容為軟件已安裝,但未被jh。當前手機型號nexus5。
之后跳轉到要激活設備管理器嗎?的界面,如果不小心點了激活那卸載就將需要點手法了。
不root的話需要到設備管理器里取消勾選才能正常卸載,如果root也可以直接刪文件。
當受害者點擊激活后還會發送短信通知黑客
當然你點取消同樣也發送短信黑客
當完成這一系列動作后發現木馬程序圖片消失,并且無法通過系統自帶應用管理直接卸載。
之后是解包反編譯看源碼咯,當然沒有想象的順利。因為這些個木馬要對抗殺軟肯定經過加殼處理的。在apk包中看到了libAPKProtect.so這個東西,那接下來就要針對性的脫殼啦。選擇使用zjdroid(需xposed框架)脫殼。大致流程如下:
添加locat:zjdroid-shell-com.oliuyht.iujyhtgr.m
得到PID:the app target id = 5585
am broadcast -a com.zjdroid.invoke --ei target 5585 --es cmd '{"action":"dump_dexinfo"}'
filepath:/data/app/com.oliuyht.iujyhtgr.m-1.apk mCookie:1899531496
am broadcast -a com.zjdroid.invoke --ei target 5585 --es cmd '{"action":"dump_class","dexpath":"/data/app/com.oliuyht.iujyhtgr.m-1.apk"}'
am broadcast -a com.zjdroid.invoke --ei target 5585 --es cmd '{"action":"backsmali","dexpath":"/data/app/com.oliuyht.iujyhtgr.m-1.apk"}'
the dexfile data save to =/data/data/com.oliuyht.iujyhtgr.m/files/dexfile.dex
之后在用JEB或dex2jar反編譯,然后就可以靜態分析app了。文件較少功能肯定不會太復雜,之前有提到過程序采用了apkprotect防護。
查看配置申請權限如下(到這里目測是個短信劫持馬)
<uses-permission android:name="android.permission.WRITE_SMS"/>
<uses-permission android:name="android.permission.SEND_SMS"/>
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
配置文件還注冊了兩個activity和兩個broadcast。
再看主界面代碼,當主界面被第一次調用后就禁用此組件相應桌面圖片也會消失。
然后執行發送短信軟件已安裝,但未被jh。n當前手機型號Build.MODEL,通知黑客。
啟動“激活設備管理”界面等待用戶點擊(一定程度防卸載)。
程序總共發了7條短信6條是發給15501730287其中四條是安裝成功,激活成功,發送成功這類消息用來判斷受害者狀態,剩余兩條是用來竊驗證碼之類的機密短信。只有一條短信是根據黑客發送的短信提取出號碼以及內容再發送。就是說黑客可以用短信控制你發送指定短信到指定號碼。
kigdgc類中硬編碼了黑客接收短信的號碼
整個app大致功能如下
大致就分析到這里,是一款可以竊取用戶電信以及通過短信遠程控制手機發送任意短信的短信劫持木馬。黑客做了一系列的偽造和防御比如:偽裝系統應用、隱藏圖標、加殼、this.abortBroadcast();隱藏指令短信。預計黑客可以通過短信控制受害者發送一些吸費軟短信,或者發送欺詐短信(比如大寶劍被抓給xxxxxxxx打2W塊才能放人)當然短信是從本人手機發出就更具欺騙性了。還可以借此繞過一些驗證如預留手機確認等(結合上文提到的釣魚漏洞這個可能是主要目的)。
LBE正常查殺(安裝時就攔截到了)
騰訊手機管家未檢測到
