捍卫正义_对两款加固短信拦截马分析与总结!
本帖最后由 笑对VS人生 于 2017-3-16 20:08 编辑前言,收到论坛某个用户的消息邀请分析。下载附件看了下,两个软件名都标注测试,分明是赤裸裸的“挑衅”!
既来之则安之
两个拦截马都是加固了的,分别是 乐加固2.10 和 网易云加固。
为了分析,只能先脱壳
1.首先第一个是腾讯乐加固
http://www.52pojie.cn/thread-589273-1-1.html
脱壳出dex后发现许多工具没法直接打开编译,成功反编译后发现里面故意加了许多导致apktool出错的smali文件
这种情况之前我也在http://www.52pojie.cn/thread-526504-1-1.html提过
解密后,发现此拦截马就是利用以前版本进行修改加固了而已,里面并没有配置接收邮箱和手机号,可以看出这不是个用来发布的,倒是像某些人故意放论坛压力测试。。。
同时发现一个有趣的地方是,二次修改的作者还在首启Activity中加了hook签名,估计是有意躲避某些安全检测,然作用并不大。
2.第二个是网易云加固
http://www.52pojie.cn/thread-588438-1-1.html
也行许多人还没有听说过这款加固服务,由网易推出,由于用的人少,所以在加固安检方面没有做要求(来者不拒),只想说网易这样的服务恐怕不符合做安全加固服务要求,会被许多恶意开发者利用。
脱壳出dex,拦截马相关信息一目了然,这个填写有相关接收信息。
邮箱 18359213254@163.com
邮箱密码 qq123466
手机号 18359213254 厦门中国移动
( 邮箱密码已经改了无法登录)
具体行为都与之前论坛朋友分析的差不多一样
总结:
以上两款拦截马都具有许多相同之处行为:
1.安装后会引导用户激活设备管理器,也就是我们说的防卸载,激活或者取消软件都会弹出软件不兼容自动卸载假提示,
然后向默认封装的邮箱号发送安装成功信息及手机型号信息,然后进行隐藏桌面图标。
2.接下来进行发送收集到的短信与通讯录,然后就是更改系统短信应用默认应用,开启后台守护进程,进行长期监控短信后台发送到邮箱。
市面上还有许多类似的升级版:采用第三方加壳,把邮箱号手机号加密,服务器接收,恶意监视设备管理器导致取消不了激活。。。等等
如果不小心安装了这种软件,卸载方法可参照这篇文章http://www.52pojie.cn/thread-574361-1-1.html
这类拦截马无非就是通过短信链接传播,对于不懂软件的用户安装个安全软件基本上可以高枕无忧!
从目前看来,这些软件已经过时了,目前基本上都在安卓5.0以上,这种软件无法后台长存,也难逃安全软件法眼!
未来短信拦截马将渐渐消失,当然这并不意味着结束,未来大势所趋是恶意植入,简单的说就是一个正常的软件被植入恶意程序。
所以在此也建议各位尽量少或者不要去使用那些所谓的外挂与官方软件的修改版,如果遇到不法分子植入某些恶意程序造成损失是难以挽回的。
”魔高一尺,道高一丈”
正义必然凌驾邪恶之上
By {:1_1:}笑对VS人生 轩少 发表于 2017-3-16 22:38
请问有脱安卓加壳(加固)的相关文章吗?方便发下吗?
这个不会公开,你要清楚:腾讯是企业,网易也是企业。(据我所知腾讯与吾爱也是合作伙伴)
公开脱壳无疑是在自找烦恼! 敬哥哥 发表于 2017-3-16 19:30
楼主,特别的感谢您。真的特别的好。分析的很到位。
每当看见紫霞姐姐,我都忍不住回复 感谢楼主 感谢楼主分享,学习了! 比较经典的分析
感谢分享 66666666666666666666 感谢楼主分析 谢谢分享。 喜欢这种安卓逆向的技术帖子{:301_975:}