吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 16380|回复: 68
收起左侧

[移动样本分析] 纯小白系列(二):今天你中招了吗?对移动小小马的简单追踪

  [复制链接]
Youngs 发表于 2016-5-31 18:21
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Youngs 于 2016-6-1 23:18 编辑
本文只是简单分析了一下,并顺头摸瓜……科普帖,大神勿喷

0x00 背景
     中午准备小眯一会时,看到大学同学在朋友圈秀了张图,顺带发的说说----“致10年后的自己”。我就随手点了一下,看到了下图的信息。作为初入安全分析没多久的菜鸟,看到这个图片就大概知道是一个小马,尽管自己本身只是PC分析的,还是带着兴趣简单看了一下自己遇到的第一个移动小马。
图片1.png

0x01 工具相关
     由于是自己第一次分析过移动端的小马,就各种搜帖子看,最后确定了2款安卓逆向工具(其功能大致差不多):AndroidKillerApkIDE。个人比较中意AndroidKiller的界面,下面的分析就靠它了,还有一点就是要安装java SDK的环境。

0x02 样本简单分析
1、获取APK样本
首先我们用IE访问shenmecs.com这个站点,这会提示出相应的APk程序(这里即chengjIDAn.apk)下载,其名字伪装成绩单软件。
Chengjidan.apk(MD5:C97612EAFBF4047277AA82737944C265)

2、样本主要功能
   本身这个小马就没有什么加固和混淆,属于简单马,功能也比较简单,直接上AndroidKiller开撸。查看其字符串,全是明文信息,真没技术含量(特么已经是盗取别人信息,起码也得给自己的邮箱和密码加一下密吧,估计这人不懂技术找人买的马吧,因为在其他地方有看到base64算法及解码的地方),下面就简单说明一下吧。
   ①获取用户的通讯录信息后,直接上传到小黑客的新浪VIP邮箱上。
图片2.png
   ②获取被害者手机的信息后,同样也是直接上传到小黑客的新浪VIP邮箱里
图片3.png
图片4.png
③ 还有其它小功能,比如替换相关的字符串信息,如“验证码”替换为“演码”等等。
图片5.png
此马功能简单明了,就不过多的说明了,可能有些地方没分析到或者分析有误,大神们勿喷,下面就开始追溯源头了。

0x03 黑客追踪
  1、首先我们通过上面分析获取的邮箱账号及密码进行登陆,查看其小马是否还存活。登陆成功后,发现邮箱最前面收到的邮件新鲜的很。看之前的十多分钟没白忙活,总算有鲜活的数据了。全部是受害人的短信信息及通讯录信息。
图片6.png
查看其邮箱注册信息,发现此邮箱也是最近才开通VIP会员的,看看其注册时间显示是2016年5月10日,初步分析很难判断其是否是放马人的邮箱。
图片7.png
通过手机关联到了刚刚注册于浙江车贷网,并且在本月的13号才注册的,现在可以判断一号嫌疑人:万军(假名成分比较多) 电话:13104884224

图片8.png
   2、经过查看邮箱信息,我们可以发现此邮箱保存了5月20号到今天的所有数据,其发送给受害人的手机号也是随机变化,我们在其邮箱中通过查看信息列表,获取了其最近使用的域名也是在变化的。
下面我们通过xuexioa.com反查注册邮箱,关联到了注册cuixiaowen168@163.com
图片9.png


图片10.png
以下是在邮箱信息中用于传播apk小马的域名列表:
xuexioa.com
xeuxiao.com
shenmecs.com
dfea.win
ccjdan.com
luijr.com
上面的域名或多或少都与成绩单有关,传播者主要就是抓住国内父母对子女成绩过分的在意,特意伪装成绩单的域名。这里我得和大家扯扯了,本身我们国内父母望子成龙(望女成凤)的思想很重,所以对待神马鬼考试成绩单非常看重,神马成绩下滑啊,成绩排名靠后啊、考试不及格等等……不得不说放马人也是抓住了国内父母的紧张孩子学习成绩的心态了。对于那些对互联网安全接触比较少的,基本都是中招了。
其次就是放马人通过讯录就能获取到相关人的真实姓名,然后在给发送信息的时候,有指名道姓的,让那些缺少安全意识的人,是该点击链接呢,还是点击链接呢?同时通信录里面的电话列表就是其后面的感染目标了。所以只要一人中招,其手机的里面的亲朋好友总会有个中招的吧,这样一直运转,直接就是树状发展了,感染面还是挺大的。

   3、通过cuixiaowen168@163.com关联搜索到了一批伪装移动10086域名进行诱导人们去点击链接,下面是目前搜索到的域名信息:
ftdea.com
bj110086.com
10086jyih.com
i110086.com
l0086ijfa.com
jsi10086.com
ij10086.com
图片11.png

目前利用互联网就搜到这儿了吧,其放马人所有关联到的域名都是使用邮箱cuixiaowen168@163.com来注册,放马人可以称呼为崔某吧
0x04 总结
   其实现在这种发虚假短信诱骗用户点击链接的方法屡见不鲜,其实手段并不高明,只要平时保证自己的安卓机别乱root权限,别随意去点击不明号码发来的链接,在去安装几个手机防毒防木马的软件,一般都能检出为木马。做为移动逆向不怎么懂的小白,写这篇科普文章鸭梨蛮大的,大神们勿喷哈。后面空了会花些时间学习一下移动方面的样本分析。

一直想做个系列的教程,手里也有很多自己分析过的报告,平时一忙就没去整理上传。下次抽空集体发出来吧。

免费评分

参与人数 39威望 +1 热心值 +39 收起 理由
卷卷de小白 + 1 用心讨论,共获提升!
yu_alex + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
党的光辉照万年 + 1 用心讨论,共获提升!
17553573 + 1 热心回复!
infofans + 1 我很赞同!
寂寞咖啡冷 + 1 就是大神,学习学习
雪莱鸟 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Catshark + 1 热心回复!
小胜5114 + 1 谢谢@Thanks!
Wikileaks + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
loooooooong + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
kekedouu + 1 楼主好帅!早已不是纯小白啦,这样我都不好意思了0.0
独孤~至尊 + 1 我很赞同!
烂鬼单车 + 1 用心讨论,共获提升!
菲尼 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
hzy99 + 1 热心回复!
头文件 + 1 用心讨论,共获提升!
hyj5719 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
regan + 1 谢谢@Thanks!
w836498753 + 1 谢谢@Thanks!
kk52140 + 1 用心讨论,共获提升!
小小欣 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
f83319780 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
firefly + 1 求科普怎么查看手机关联的?
回归自然 + 1 鼓励转贴优秀软件安全工具和文档!
shaoxiao + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
gsl27 + 1 热心回复!
♂偶是屌丝℡ + 1 我很赞同!
ahe8984366 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
蟠桃居士 + 1 我很赞同!
czswjq + 1 我很赞同!
丶无念 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zt185 + 1 学习了,很棒的文章!
52鱼鱼 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
给哥跪下唱征服 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
gutian + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
johnwhite + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
weitao123 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Hmily + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| Youngs 发表于 2016-5-31 20:55
firefly 发表于 2016-5-31 20:50
呃,这样的话,不是有很大的限制性。我刚去百度搜了自己的手机号,发现没有什么相关的东西,但我这手机号 ...

局限性是必然的。查自己的手机肯定很少信息啊,基本上没有,除非是你这个号码以前是木马病毒的人搞宣传留下过联系方式。其实很多放马人或国内搞DDOS类等等,他们也需要业务,所以会留下一些联系方式(比如QQ、电话等)。
firefly 发表于 2016-5-31 20:50
Youngs 发表于 2016-5-31 20:36
在没有任何数据库资源的情况下,其实关联东西的话,我都是通过搜索引擎来关联的。找出一切可疑的,然后在 ...

呃,这样的话,不是有很大的限制性。我刚去百度搜了自己的手机号,发现没有什么相关的东西,但我这手机号绑定了好多好多东东。
hiliwenbin 发表于 2016-5-31 18:27
mfk1997 发表于 2016-5-31 18:45
感谢大神分享,结构清晰有帮助
王美君 发表于 2016-5-31 18:49
太牛X了,膜拜
明子njx 发表于 2016-5-31 18:53
挺简单的
lan2602144404 发表于 2016-5-31 19:01
够清晰,够给力,赞
zt185 发表于 2016-5-31 19:06
非常好的文章 学习了!
胖子哦 发表于 2016-5-31 19:06
不错哦!!
jeany 发表于 2016-5-31 19:11
牛掰,大神可不可以出个脱壳教程,膜拜!!!
冬天大哥哥 发表于 2016-5-31 19:11
666,这样也可以
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 13:54

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表