一款短信拦截马简单分析与卸载介绍

笑对VS人生

     目前安卓最常见的恶意软件无非就是短信拦截马、锁机勒索两种。
短信拦截马，最普遍的是邮箱版，这个首先是成本低，其次技术含量低。可以说目前在传播的几款拦截马都是大同小异，有的就是同一款。
有的头脑聪明些会采用个人域名邮箱、寻找加固软件加密，但是这样兼容性会大大下降，还有的会采用服务器接收。


而往往容易中招的是那些没有一点基本常识的人群。


   今天说的是这款http://www.52pojie.cn/thread-574044-1-1.html
  软件是加固处理的：腾讯乐加固


  脱壳后的dex: classes解压查看.zip (220.32 KB, 下载次数: 720)

2017-1-17 23:08 上传

点击文件名下载附件

   解压密码 52pojie

   脱壳处理后一切就简单了（手机号、邮箱未做任何加密处理，我想此人就是会点简单修改罢了）
下面就贴出主要信息（论坛这类软件详细分析太多了，这里不重复）

手机号 18814487741
接收邮箱 a18814487741@aliyun.com
邮箱密码 QAZwer789




大概流程我说下，详细分析意义不大，对于看不懂代码的还是看不懂 ，能懂的一会儿自己看脱壳后的dex
1.安装后打开——软件会弹出在设备管理器激活页面并隐藏图标——后台发送短信（手机型号IMEI）给指定手机号——同时读取联系人和短信发送邮箱——之后就是后台运行
2.软件带有开机自启，后台实时监听短信并上传邮箱和发短信到指定手机号
3.软件还带有远程指令（控制发发短信，设置来电转移，获取通讯录。。。）群发功能，安卓4.4系统及以下能够完全屏蔽手机显示收到的短信。
    这些基本上是针对安卓4.4及4.4以下系统

                       
                            对于卸载这类软件这里有必要详细说一下


卸载方法有很多，这里介绍部分
1.正常卸载：软件无非是激活了设备管理器和隐藏了图标，去设置—安全—设备管理器（有的手机是其他地方，百度一下），找到拦截马，取消激活。然后到应用管理正常卸载。
2.对于拦截马做了防取消激活处理：卸载方法是利用ROOT权限，最快捷方法安装360手机急救箱扫描一下，可轻松找到卸载。还可以用RE管理器在有ROOT权限下在  根目录/data/data/   目录下找到木马对应包名，删除这个包名文件夹重启手机即可。
3.无法获取root又无法正常取消激活、自带安全软件扫描到却无法删除：下面任选一种
（现有数据会丢失，建议先备份重要数据）
（1） 禁止木马自启、禁止该木马软件获取任何权限（这种方式一般在安卓5.0以上均可使用）
（2） 进入rec模式wipe双清
（3）刷手机官方线刷包进行处理（注意：是线刷包）




    总结：

这类软件基本上都是短信链接传播，以各种方式诱导用户安装
对于这种软件可谓是可防不可终止，各位最好还是安装一个杀毒软件。

传播这些短信拦截马大多数是小学生，还有就是想着轻松赚钱的人，这里有必要奉劝各位还是做点正事，别以为没什么（目前也有上央视的）小打小闹无所谓，万一哪天你遇到了才后悔就迟了！


     值得思考的是安全公司并非要赶尽杀绝这类垃圾软件，我想也是为自己公司着想，不然安全软件安装量怎么上升？


                                   不足之处请指出！
  
           ——By  笑对VS人生


续：刚才登录这个人邮箱发现22页的邮件已经有人中招，这些木马传播者这真的是活的不耐烦了！

Hmily

@笑对VS人生 样本上传加一下解压密码，不然论坛会被误报。

笑对VS人生

Hmily 发表于 2017-1-17 17:09
@笑对VS人生 样本上传加一下解压密码，不然论坛会被误报。

压缩包里面是dex，也会解析？晚点我重新上传

交王飞也不行

感谢楼主介绍

yangyang123x

打击这些木马作者

弹指之间

阿里去也给人利用 了！！

草泥马qqq

打开邮箱我发现有个老外手机中套了

jooeji

腾讯乐固脱壳求指导

Hmily

笑对VS人生 发表于 2017-1-17 18:03
压缩包里面是dex，也会解析？晚点我重新上传

杀软都会查的。