木馬利用短信感覺受害者通信錄中好友.利用"看你做的好事","看你做的齷齪事"等語句誘導用戶安裝.
開始分析木馬,首先查看其Manifest文件.從其申請短信/聯系/聯網的權限來看已經可以基本確認這是一款短信攔截馬,貌似沒啥新意不過可以從中發現一些以前沒有的細節.感覺這個木馬還是挺用心的。
首先是installLocation屬性的設置.
android:installLocation="internalOnly"
設置這個屬性的目的是不讓木馬 app 被安裝到 sdcard 中.因為如果 app 被安裝 sdcard 中而非手機內置存儲的話會失去以下特性導致木馬的功能不健全
第二個有意思的點 excludeFromRecents 是在 activity 標簽中設置的.
android:excludeFromRecents="false"
這樣設置的目的是不讓木馬 app 現在在最近程序列表中減少被普通用戶發現的概率.類似處理還有將此 Activity 在代碼中 disable
第三個特點是隨機字符串包名
package="tjkxyfmjhvdg.oprbrvvgeevv.uxqjjuqxympd"
要抓取幾個樣本后發現,包名是隨機的字符串,但是代碼特助以及簽名都是一樣的.應該是通過程序自動生成的,猜測目的是躲避一些殺軟.
繼續觀察程序入口點: 1.主Activity,用戶點一次后將會被禁用
<activity android:excludeFromRecents="false" android:label="@string/app_name" android:name="com.phone.stop.activity.MainActivity">
<intent-filter>
<action android:name="android.intent.action.MAIN" />
<category android:name="android.intent.category.LAUNCHER" />
</intent-filter>
</activity>
功能老幾樣:
sevice 的主要功能是
其他入口點: 2.開機廣播 3.網絡切換廣播 4.短信相關廣播 ,總計4處可以觸發攔截馬行為.
<receiver android:name="com.phone.stop.receiver.BootReceiver">
<intent-filter android:priority="2147483647">
<action android:name="android.intent.action.BOOT_COMPLETED" />
<action android:name="android.net.conn.CONNECTIVITY_CHANGE" />
<action android:name="android.provider.Telephony.SMS_RECEIVED" />
<action android:name="android.provider.Telephony.GSM_SMS_RECEIVED" />
<action android:name="android.provider.Telephony.SMS_RECEIVED_2" />
<action android:name="android.provider.Telephony.SMS_DELIVER" />
</intent-filter>
</receiver>
短信廣播接收器和觀察者的代碼就不貼了,發出的郵件是這樣的:
那么這個木馬是腫么存儲郵箱帳號木馬的了,發現這些個短信馬都喜歡用163.
這款木馬選擇對郵箱帳號密碼使用 des 加密.破解這個也很簡單現在有三個途徑:
大概兩天不到的時間已經有上千受害者中招,部分數據如下:
通信錄
短信記錄
總結木馬功能:
在這些用 SMTP 上傳受害者信息的短信木馬中,有些木馬作者比較 low 就直接硬編碼在 java 代碼中,有些會選擇像上述的加密,也有往底層遷移
木馬傳播途徑:
1.偽基站\釣魚\定向群發
2.受害者感染通信錄好友
木馬使用者手機號碼:
15168430384
13894651855
13660414800
13430222795
已驗證為黑卡,未實名認證.
傳播站點:
118.193.170.149:2100
118.193.157.132:1123
http://www.shunlilao.com/hyl/xiangni.apk
http://wusha66.net/erw2fs.apk
主要來自香港的 VPS.