纯小白系列(二):今天你中招了吗?对移动小小马的简单追踪
本帖最后由 Youngs 于 2016-6-1 23:18 编辑本文只是简单分析了一下,并顺头摸瓜……科普帖,大神勿喷
0x00 背景 中午准备小眯一会时,看到大学同学在朋友圈秀了张图,顺带发的说说----“致10年后的自己”。我就随手点了一下,看到了下图的信息。作为初入安全分析没多久的菜鸟,看到这个图片就大概知道是一个小马,尽管自己本身只是PC分析的,还是带着兴趣简单看了一下自己遇到的第一个移动小马。
0x01 工具相关 由于是自己第一次分析过移动端的小马,就各种搜帖子看,最后确定了2款安卓逆向工具(其功能大致差不多):AndroidKiller和ApkIDE。个人比较中意AndroidKiller的界面,下面的分析就靠它了,还有一点就是要安装java SDK的环境。
0x02 样本简单分析1、获取APK样本首先我们用IE访问shenmecs.com这个站点,这会提示出相应的APk程序(这里即chengjidan.apk)下载,其名字伪装成绩单软件。Chengjidan.apk(MD5:C97612EAFBF4047277AA82737944C265)
2、样本主要功能 本身这个小马就没有什么加固和混淆,属于简单马,功能也比较简单,直接上AndroidKiller开撸。查看其字符串,全是明文信息,真没技术含量(特么已经是盗取别人信息,起码也得给自己的邮箱和密码加一下密吧,估计这人不懂技术找人买的马吧,因为在其他地方有看到base64算法及解码的地方),下面就简单说明一下吧。 ①获取用户的通讯录信息后,直接上传到小黑客的新浪VIP邮箱上。 ②获取被害者手机的信息后,同样也是直接上传到小黑客的新浪VIP邮箱里 ③ 还有其它小功能,比如替换相关的字符串信息,如“验证码”替换为“演码”等等。此马功能简单明了,就不过多的说明了,可能有些地方没分析到或者分析有误,大神们勿喷,下面就开始追溯源头了。
0x03 黑客追踪1、首先我们通过上面分析获取的邮箱账号及密码进行登陆,查看其小马是否还存活。登陆成功后,发现邮箱最前面收到的邮件新鲜的很。看之前的十多分钟没白忙活,总算有鲜活的数据了。全部是受害人的短信信息及通讯录信息。查看其邮箱注册信息,发现此邮箱也是最近才开通VIP会员的,看看其注册时间显示是2016年5月10日,初步分析很难判断其是否是放马人的邮箱。通过手机关联到了刚刚注册于浙江车贷网,并且在本月的13号才注册的,现在可以判断一号嫌疑人:万军(假名成分比较多) 电话:13104884224
2、经过查看邮箱信息,我们可以发现此邮箱保存了5月20号到今天的所有数据,其发送给受害人的手机号也是随机变化,我们在其邮箱中通过查看信息列表,获取了其最近使用的域名也是在变化的。下面我们通过xuexioa.com反查注册邮箱,关联到了注册cuixiaowen168@163.com
以下是在邮箱信息中用于传播apk小马的域名列表:xuexioa.comxeuxiao.comshenmecs.comdfea.winccjdan.comluijr.com上面的域名或多或少都与成绩单有关,传播者主要就是抓住国内父母对子女成绩过分的在意,特意伪装成绩单的域名。这里我得和大家扯扯了,本身我们国内父母望子成龙(望女成凤)的思想很重,所以对待神马鬼考试成绩单非常看重,神马成绩下滑啊,成绩排名靠后啊、考试不及格等等……不得不说放马人也是抓住了国内父母的紧张孩子学习成绩的心态了。对于那些对互联网安全接触比较少的,基本都是中招了。其次就是放马人通过讯录就能获取到相关人的真实姓名,然后在给发送信息的时候,有指名道姓的,让那些缺少安全意识的人,是该点击链接呢,还是点击链接呢?同时通信录里面的电话列表就是其后面的感染目标了。所以只要一人中招,其手机的里面的亲朋好友总会有个中招的吧,这样一直运转,直接就是树状发展了,感染面还是挺大的。
3、通过cuixiaowen168@163.com关联搜索到了一批伪装移动10086域名进行诱导人们去点击链接,下面是目前搜索到的域名信息:ftdea.combj110086.com10086jyih.comi110086.coml0086ijfa.comjsi10086.comij10086.com
目前利用互联网就搜到这儿了吧,其放马人所有关联到的域名都是使用邮箱cuixiaowen168@163.com来注册,放马人可以称呼为崔某吧0x04 总结 其实现在这种发虚假短信诱骗用户点击链接的方法屡见不鲜,其实手段并不高明,只要平时保证自己的安卓机别乱root权限,别随意去点击不明号码发来的链接,在去安装几个手机防毒防木马的软件,一般都能检出为木马。做为移动逆向不怎么懂的小白,写这篇科普文章鸭梨蛮大的,大神们勿喷哈。后面空了会花些时间学习一下移动方面的样本分析。
一直想做个系列的教程,手里也有很多自己分析过的报告,平时一忙就没去整理上传。下次抽空集体发出来吧。
firefly 发表于 2016-5-31 20:50
呃,这样的话,不是有很大的限制性。我刚去百度搜了自己的手机号,发现没有什么相关的东西,但我这手机号 ...
局限性是必然的。查自己的手机肯定很少信息啊,基本上没有,除非是你这个号码以前是木马病毒的人搞宣传留下过联系方式。其实很多放马人或国内搞DDOS类等等,他们也需要业务,所以会留下一些联系方式(比如QQ、电话等)。 Youngs 发表于 2016-5-31 20:36
在没有任何数据库资源的情况下,其实关联东西的话,我都是通过搜索引擎来关联的。找出一切可疑的,然后在 ...
呃,这样的话,不是有很大的限制性。我刚去百度搜了自己的手机号,发现没有什么相关的东西,但我这手机号绑定了好多好多东东。 真是大神级别分析的清清楚楚 感谢大神分享,结构清晰有帮助 太牛X了,膜拜 挺简单的 够清晰,够给力,赞 非常好的文章 学习了! 不错哦!! 牛掰,大神可不可以出个脱壳教程,膜拜!!! 666,这样也可以