一款短信拦截马简单分析与卸载介绍
本帖最后由 笑对VS人生 于 2017-1-17 23:08 编辑目前安卓最常见的恶意软件无非就是短信拦截马、锁机勒索两种。
短信拦截马,最普遍的是邮箱版,这个首先是成本低,其次技术含量低。可以说目前在传播的几款拦截马都是大同小异,有的就是同一款。
有的头脑聪明些会采用个人域名邮箱、寻找加固软件加密,但是这样兼容性会大大下降,还有的会采用服务器接收。
而往往容易中招的是那些没有一点基本常识的人群。
今天说的是这款http://www.52pojie.cn/thread-574044-1-1.html
软件是加固处理的:腾讯乐加固
脱壳后的dex:
解压密码 52pojie
脱壳处理后一切就简单了(手机号、邮箱未做任何加密处理,我想此人就是会点简单修改罢了)
下面就贴出主要信息(论坛这类软件详细分析太多了,这里不重复)
手机号 18814487741
接收邮箱 a18814487741@aliyun.com
邮箱密码 QAZwer789
大概流程我说下,详细分析意义不大,对于看不懂代码的还是看不懂 ,能懂的一会儿自己看脱壳后的dex
1.安装后打开——软件会弹出在设备管理器激活页面并隐藏图标——后台发送短信(手机型号IMEI)给指定手机号——同时读取联系人和短信发送邮箱——之后就是后台运行
2.软件带有开机自启,后台实时监听短信并上传邮箱和发短信到指定手机号
3.软件还带有远程指令(控制发发短信,设置来电转移,获取通讯录。。。)群发功能,安卓4.4系统及以下能够完全屏蔽手机显示收到的短信。
这些基本上是针对安卓4.4及4.4以下系统
对于卸载这类软件这里有必要详细说一下
卸载方法有很多,这里介绍部分
1.正常卸载:软件无非是激活了设备管理器和隐藏了图标,去设置—安全—设备管理器(有的手机是其他地方,百度一下),找到拦截马,取消激活。然后到应用管理正常卸载。
2.对于拦截马做了防取消激活处理:卸载方法是利用ROOT权限,最快捷方法安装360手机急救箱扫描一下,可轻松找到卸载。还可以用RE管理器在有ROOT权限下在根目录/data/data/ 目录下找到木马对应包名,删除这个包名文件夹重启手机即可。
3.无法获取root又无法正常取消激活、自带安全软件扫描到却无法删除:下面任选一种
(现有数据会丢失,建议先备份重要数据)
(1) 禁止木马自启、禁止该木马软件获取任何权限(这种方式一般在安卓5.0以上均可使用)
(2) 进入rec模式wipe双清
(3)刷手机官方线刷包进行处理(注意:是线刷包)
总结:
这类软件基本上都是短信链接传播,以各种方式诱导用户安装
对于这种软件可谓是可防不可终止,各位最好还是安装一个杀毒软件。
传播这些短信拦截马大多数是小学生,还有就是想着轻松赚钱的人,这里有必要奉劝各位还是做点正事,别以为没什么(目前也有上央视的)小打小闹无所谓,万一哪天你遇到了才后悔就迟了!
值得思考的是安全公司并非要赶尽杀绝这类垃圾软件,我想也是为自己公司着想,不然安全软件安装量怎么上升?
不足之处请指出!
——By笑对VS人生
续:刚才登录这个人邮箱发现22页的邮件已经有人中招,这些木马传播者这真的是活的不耐烦了!
@笑对VS人生 样本上传加一下解压密码,不然论坛会被误报。 Hmily 发表于 2017-1-17 17:09
@笑对VS人生 样本上传加一下解压密码,不然论坛会被误报。
压缩包里面是dex,也会解析?晚点我重新上传 感谢楼主介绍 {:301_971:}打击这些木马作者 阿里去也给人利用 了!!{:1_907:} {:1_918:}打开邮箱我发现有个老外手机中套了 腾讯乐固脱壳求指导 笑对VS人生 发表于 2017-1-17 18:03
压缩包里面是dex,也会解析?晚点我重新上传
杀软都会查的。