吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 28354|回复: 58
收起左侧

[移动样本分析] 仿《中华人民共和国最高人民检察院》钓鱼APP详细分析

  [复制链接]
Andy0214 发表于 2017-5-21 21:17
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
报告名称:仿《中华人民共和国最高人民检察院》钓鱼APP详细分析                                                
作者:Andy
报告更新日期:2017年5月21日
样本文件大小/被感染文件变化长度:505,420 字节
样本文件MD5 校验值:07689211B6FCCE45BD12259A489A4B6B
样本文件SHA1 校验值:458F456BCB4F6D783233C3AC026F96E014689CB4
壳信息:NO WRAPPER

可能受到威胁的系统:Android
名称:中华人民共和国最高人民检察院
包名:com.gmapp

主要描述:样本是一款钓鱼APP,随着电视剧人民的名义的热播,我们的最高检也成了热门IP,很多不法分子就利用最高检的热度,制作起了相关的病毒软件,近期发现的这款关于最高检的APP是一款很常见的钓鱼类APP。该病毒仿冒公检法,启动后试图窥视用户手机,并意图窃取用户短信,通讯录,地理位置等隐私数据,会造成用户资金损害;病毒在启动后提示用户将默认短信应用修改,监听用户的按键并将返回键重写失效;病毒监听用户电话状态,可能存在远程转接,造成不必要的经济损失。


详细分析:
  0x00 运行界面
1.png 2.png

0x01获取权限
android.permission.READ_PHONE_STATE, 访问电话状态
android.permission.INTERNET, 访问网络连接,可能产生GPRS流量
android.permission.ACCESS_COARSE_LOCATION, 通过WiFi或移动基站的方式获取用户错略的经纬度信息(精度30~1500米)
android.permission.ACCESS_FINE_LOCATION, 通过GPS芯片接收卫星的定位信息(精度10米以内)
android.permission.ACCESS_NETWORK_STATE, 获取网络信息状态,如当前的网络连接是否有效
android.permission.ACCESS_WIFI_STATE, 获取当前WiFi接入的状态以及WLAN热点的信息
android.permission.READ_CONTACTS, 允许应用访问联系人通讯录信息
android.permission.SEND_SMS, 发送短信
android.permission.WAKE_LOCK, 允许程序在手机屏幕关闭后后台进程仍然运行  
android.permission.INJECT_EVENTS, 允许访问本程序的底层事件,获取按键、轨迹球的事件流


  0x02具体行为
该钓鱼APP在用户启动后自动获取用户信息上传,并试图将软件自身设置为短信应用以方便后续直接获取用户短信相关信息。
将自身设置为默认的短信应用
默认短信应用.png
4.png
获取用户信息
8.png
抓包得到上传用户的信息
抓包1.png
抓包.png
上传服务器地址拼接
6.png

钓鱼APP监听用户电话状态,可能存在远程转接,造成不必要的经济损失
9.png

钓鱼APP修改返回键,导致用户无法点击返回,返回键失效
返回键失效.png

在分析的过程中还发现了钓鱼APP的主界面
3.png
在主界面下方有三个按钮可以出发
网站界面.png
1.png
可以清楚的看到该钓鱼网站采集用户的信息极其的详细,通过网页形式获取用户基本信息,然后通过恶意APP获取用户实时信息并做关联,这样一套完善的信息体系很快就能运转。
看到这里是不是感叹这些制作病毒的人很可恶,确实,这些人不择手段,获取用户最基本的信息,有可能售卖,有可能用来进一步诈骗,所以小白在这里提醒用户一定要在官方应用商城下载应用,并且手机上要安装安全卫士实时监测手机的安全。


接下来我们看看这个网站的相关信息

3.png
经过查询该二级域名还发现了其他的传播地址与钓鱼主页
可以看到IP地址是美国的,看来病毒制造者还是很谨慎的。
没有更多信息了,不知道广大的网友朋友们有没有可以更多追溯该APP来源的方法或者手段,不吝赐教。
本人小白,写得不好,希望可以帮助到很多的受害者,大神勿喷,谢谢。


0x03安全建议
从正规的应用商城下载应用,不随意点击别人给的下载链接
不贪小便宜,不要下载所谓的红包、刷钻、王能软件之类的应用
对自己不清楚的软件最好先使用模拟器安装,如果正常在安装亦无妨



  0x04总结
广大的安全爱好者们如果也喜欢分享自己的劳动成果,喜欢破解一些游戏,喜欢解锁一些锁机软件,一起讨论关于软件安全的问题,一起破解我们想玩的游戏,一起研究很多好玩的东西。(论坛禁止留群)

免费评分

参与人数 41威望 +2 吾爱币 +53 热心值 +38 收起 理由
松三 + 1 + 1 谢谢@Thanks!
a32077 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
fu90 + 1 + 1 热心回复!
Ocean333 + 1 谢谢@Thanks!
vikaro + 1 + 1 热心回复!
Hmily + 2 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
lsy998 + 1 + 1 我很赞同!
YYL7535 + 1 + 1 谢谢@Thanks!
jaffa + 1 谢谢@Thanks!
dadao815 + 1 + 1 谢谢@Thanks!
Faulkner_Mauric + 1 + 1 鼓励转贴优秀软件安全工具和文档!
二郎神的二郎腿 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
破碎ぃ + 1 + 1 用心讨论,共获提升!
浅暗 + 1 + 1 谢谢@Thanks!
ayoma + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Shark素 + 1 + 1 谢谢@Thanks!
说再见 + 1 + 1 谢谢@Thanks!
lingchufeng + 1 我很赞同!
元嘉草草 + 1 + 1 用心讨论,共获提升!
helloword121 + 1 + 1 用心讨论,共获提升!
1455018613 + 1 已答复!
那份执着 + 1 热心回复!
conosc + 2 + 1 用心讨论,共获提升!
lhzs600 + 1 + 1 用心讨论,共获提升!
455565995 + 1 + 1 哇,这些人一天好事不干
siuhoapdou + 1 + 1 谢谢@Thanks!
as7657506 + 1 + 1 360的图标简直啪啪啪打脸
heavy_fire + 1 + 1 热心回复!
liphily + 1 + 1 大家注意,公检法查你的钱,是不需要你提供户名和密码的
yangyang123x + 1 + 1 我很赞同!
Jimz + 1 + 1 应该已经触犯法律了吧
Anonyomus + 3 + 1 用心讨论,共获提升!
我是耐寒马 + 1 + 1 用心讨论,共获提升!
mmgglgy + 1 + 1 已答复!
smile1110 + 3 + 1 我很赞同!
勤奋的刘小朵 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
帝君. + 1 + 1 分析讨论交流,吾爱破解论坛有你更精彩!
linzz + 1 + 1 用心讨论,共获提升!
a910673331 + 1 + 1 用心讨论,共获提升!
白笙 + 1 + 1 热心回复!
52破解☆ + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Paul_yan 发表于 2018-10-9 12:16
17605202756 发表于 2017-5-23 12:13
其实只要去正经的软件商城或者手机自带的基本上是不会有这些问题的,平时没事别乱去网站下载最好也别root

其实这些软件的传播就是利用人类的弱点绕过这些“途径”的。
电科信息士 发表于 2018-11-15 19:42
楼主,我是新人。我对安卓系统不是特别的了解。我冒昧的问一句,我在学习您的上述步骤时发现,您是用wireshark抓包的。您是在安卓的开发环境里运行上述“间谍”app的吗?如果我用其他的手机模拟器,我在pc上是否还能对此类软件进行相应的沙箱测试呢?
轉瞬即逝~的愛 发表于 2017-5-22 12:27
琅琊王 发表于 2017-5-22 12:44
这么高级的黑客东西没有接触过,学习了!学学反黑客!
www312244151 发表于 2017-5-22 12:51
各路大神快来,搞他,找到之后报网警。!
勤奋的刘小朵 发表于 2017-5-22 14:46
长知识了,嘿嘿,谢谢楼主无私分享!
shuihuoerhao 发表于 2017-5-22 14:52
这类APP是越来越强大啦  以后安装更新APP确实得注意注意
chinaboy008 发表于 2017-5-22 16:38
支持楼主!加油!
亲亲多美丽 发表于 2017-5-22 17:49
哇,好高档的样子,谢谢分享
三笙三世 发表于 2017-5-22 17:56
已经把他网站打了{:1_912:}

免费评分

参与人数 1吾爱币 +1 收起 理由
wabc666 + 1 贼6

查看全部评分

Onlookers_汐颜 发表于 2017-5-22 19:01
一大波DDOS正在接近
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-15 13:57

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表