本帖最后由 Youngs 于 2016-6-1 23:18 编辑
本文只是简单分析了一下,并顺头摸瓜……科普帖,大神勿喷
0x00 背景 中午准备小眯一会时,看到大学同学在朋友圈秀了张图,顺带发的说说----“致10年后的自己”。我就随手点了一下,看到了下图的信息。作为初入安全分析没多久的菜鸟,看到这个图片就大概知道是一个小马,尽管自己本身只是PC分析的,还是带着兴趣简单看了一下自己遇到的第一个移动小马。
0x01 工具相关 由于是自己第一次分析过移动端的小马,就各种搜帖子看,最后确定了2款安卓逆向工具(其功能大致差不多):AndroidKiller和ApkIDE。个人比较中意AndroidKiller的界面,下面的分析就靠它了,还有一点就是要安装java SDK的环境。
0x02 样本简单分析 1、获取APK样本 首先我们用 IE访问shenmecs.com这个站点,这会提示出相应的APk程序(这里即chengjIDAn.apk)下载,其名字伪装成绩单软件。Chengjidan.apk(MD5:C97612EAFBF4047277AA82737944C265)
2、样本主要功能 本身这个小马就没有什么加固和混淆,属于简单马,功能也比较简单,直接上AndroidKiller开撸。查看其字符串,全是明文信息,真没技术含量(特么已经是盗取别人信息,起码也得给自己的邮箱和密码加一下密吧,估计这人不懂技术找人买的马吧,因为在其他地方有看到base64算法及解码的地方),下面就简单说明一下吧。 ①获取用户的通讯录信息后,直接上传到小黑客的新浪VIP邮箱上。 ②获取被害者手机的信息后,同样也是直接上传到小黑客的新浪VIP邮箱里 ③ 还有其它小功能,比如替换相关的字符串信息,如“验证码”替换为“演码”等等。 此马功能简单明了,就不过多的说明了,可能有些地方没分析到或者分析有误,大神们勿喷,下面就开始追溯源头了。
0x03 黑客追踪 1、首先我们通过上面分析获取的邮箱账号及密码进行登陆,查看其小马是否还存活。登陆成功后,发现邮箱最前面收到的邮件新鲜的很。看之前的十多分钟没白忙活,总算有鲜活的数据了。全部是受害人的短信信息及通讯录信息。 查看其邮箱注册信息,发现此邮箱也是最近才开通VIP会员的,看看其注册时间显示是2016年5月10日,初步分析很难判断其是否是放马人的邮箱。 通过手机关联到了刚刚注册于浙江车贷网,并且在本月的13号才注册的,现在可以判断一号嫌疑人:万军(假名成分比较多) 电话:13104884224
2、经过查看邮箱信息,我们可以发现此邮箱保存了5月20号到今天的所有数据,其发送给受害人的手机号也是随机变化,我们在其邮箱中通过查看信息列表,获取了其最近使用的域名也是在变化的。
以下是在邮箱信息中用于传播apk小马的域名列表: xuexioa.com xeuxiao.com shenmecs.com dfea.win ccjdan.com luijr.com 上面的域名或多或少都与成绩单有关,传播者主要就是抓住国内父母对子女成绩过分的在意,特意伪装成绩单的域名。这里我得和大家扯扯了,本身我们国内父母望子成龙(望女成凤)的思想很重,所以对待神马鬼考试成绩单非常看重,神马成绩下滑啊,成绩排名靠后啊、考试不及格等等……不得不说放马人也是抓住了国内父母的紧张孩子学习成绩的心态了。对于那些对互联网安全接触比较少的,基本都是中招了。 其次就是放马人通过讯录就能获取到相关人的真实姓名,然后在给发送信息的时候,有指名道姓的,让那些缺少安全意识的人,是该点击链接呢,还是点击链接呢?同时通信录里面的电话列表就是其后面的感染目标了。所以只要一人中招,其手机的里面的亲朋好友总会有个中招的吧,这样一直运转,直接就是树状发展了,感染面还是挺大的。
3、通过cuixiaowen168@163.com关联搜索到了一批伪装移动10086域名进行诱导人们去点击链接,下面是目前搜索到的域名信息: ftdea.com bj110086.com 10086jyih.com i110086.com l0086ijfa.com jsi10086.com ij10086.com
0x04 总结 其实现在这种发虚假短信诱骗用户点击链接的方法屡见不鲜,其实手段并不高明,只要平时保证自己的安卓机别乱root权限,别随意去点击不明号码发来的链接,在去安装几个手机防毒防木马的软件,一般都能检出为木马。做为移动逆向不怎么懂的小白,写这篇科普文章鸭梨蛮大的,大神们勿喷哈。后面空了会花些时间学习一下移动方面的样本分析。
一直想做个系列的教程,手里也有很多自己分析过的报告,平时一忙就没去整理上传。下次抽空集体发出来吧。
|