钓鱼APK追踪实录

移动终端安全研究 rabit2013 阅读(1410) 0评论

首先,这款木马是通过短链接(图一)的形式大量传播的,打开短链接之后会直接跳出是否下载聚会照片APK如图2:

  

点击普通下载之后,就会和普通的APP安装一样提示一步步的将其安装到用户手机上。如上图所示,我们看到这款恶意APP能够提取到读取手机状态、读取并编辑讯息、发送短信、读取通讯录、读取、修改以及删除SD卡的内容、完整的网络访问权限、更改系统设置等多种权限。而且在按照提示一步步安装成功后,就会发现手机屏幕上并不能找到这个app,也就是说它自动隐藏了。与此同时,这款恶意APP也开始了它的工作。

如上图所示,当APP安装完毕后,这款恶意软件首先直接就可以获取下载者的手机品牌,型号,以及系统版本等信息。并将窃取到的信息发送到13053053291这部事先设定好的手机上。接着木马的服务器端设置一个自动的脚本,使下载者自动的注册了“微医”。并且能窃取到下载者所有的本地短信记录。然后如第三张图所示,得到了验证码等信息之后,木马作者便直接登录下载者的移动和包以及京东等,修改密码,盗刷京东、和包账户。通过本地短信的获取以及网络权限和安全权限的提取,他得到下载者的银行卡账号、身份证号和动态口令后(如第四张图),就盗刷下载者的银行卡。

    接下来对其进行分析:

    我们在拿到APK后先将apk文件解压缩后,用dex2jar将解压缩得到的classes.dex文件转换为jar文件,接下来用jdgui来看到源码,发现APK并没有被加密,很容易就拿到了源码。里面也只有一些类有稍微的混淆,但并不能影响阅读,这就省去了我们很多麻烦。大致看一下源码,发现源码中的javax、datatransfer以及最后的org的apache都是引用原有的java类库,可以不做分析。然后很容易找到了木马的MainActivity,如图:

因为这个木马的代码写的比较繁琐,所以我们只对其中的有用的一些进行分析:

首选它开启了一个线程,跟过去看后发现是用来安装软件的:

继续分析发现它又开启了BootService服务,木马服务器端有一个自动的脚本,为下载者自动注册“微医”。

跟进去之后发现,在里面还开启了SmSserver服务,我们看到

很容易就可以看出来这款木马可以获取下载者的本地权限,得到手机短信记录以及本地的电话薄内容还有手机型号等基本信息。并能在获取手机接收短信时的系统广播。拿到即时的验证码等。之后就盗取下载者的京东,和包等。(代码太长,仅粘贴获取广播代码。)

那就想到了,木马的作者既然获取了这些权限,终归是要得到信息。我们在下载APP的时候,就知道他是把得到的我们的短信发给了一个13053xxxxx的手机号,于是乎,搜索这个手机号。

最终在这里找到了这个手机号,那想必这里就是返回信息的地方了。可是得到一个手机号码并不能得到什么有效的信息。因为这手机号很可能是特意买的。继续分析发现木马作者应该是为了方便,将所有得到的本地电话薄以及短信以邮件的形式发给了XXXX@vip.sina.com

既然是用的邮件(SMTP),那么要想做到自动的发送到指定的邮箱,肯定要有密码,我们很快就在后面找到了他的密码。设置的很简单:

于是,登上这个新浪邮箱试一试。果然就是这个:

发现木马作者就是将窃取到的信息发到了这个邮箱,还发现他还关联了另一个邮箱也可以登录,登上去发现也是用来接收窃取到的信息邮件的。并且在我登录上时,还不断有各种邮件发送过来。说明现在还一直有人上当。我们随意点开几份看到许多信息:有电话薄的全部联系人信息、手机主人的交易信息等等,能够随时拿到手机主人的银行短信验证码的私密信息:

只要是短信提及的他都可以拿到,比如身份证号,银行卡号等等

然后在看短信的时候,我们发现他在窃取到许多手机号码后,还继续通过短信发链接,让更多人上当,也让我知道了他的这个APK为什么起名叫“聚会照片”了。

还有一些私密的信息想必木马作者会拿来勒索了。

登到了邮箱拿到了信息,那么其他的也不太重要了,但还是继续分析一下,看看还有其他的什么功能。

这是该木马的另一个功能,能够得到手机的运行状态。

这个木马还会提取到手机的安全权限,从而激活它的安全状态。使用户无法轻易删除

而同时木马作者还做了一个迷惑的提示:令下载者误以为这款APP已经删除掉了。

为了避免检测,木马作者将一些敏感词汇用其他词来代替,如报告开始截图中的“注册”就被“住厕”取代。源码如下:

代码分析有用的部分基本上就是这样。还有一个很重要的信息可以利用,就是木马作者用来传播木马的这个短链接。

http://50r.cn/eZXXXX

并不能打开还原得到的网址,但是看到他的IP为116.255.xxx.xxx,查IP所在地区发现:

转载请注明:CloverSec Labs » 钓鱼APK追踪实录

喜欢 (2)or分享 (0)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址