话说某天在和前台妹子聊天之际,被BOSS一条短信给搅扰了,打开一看是一条违章短信的信息,里面还有一个短链接(很明显是APP下载地址咯),还有BOSS的真实姓名和车牌信息,BOSS下令要看分析结果。话说发这样短信的人也2啊!
通过地址顺利下载到APK,这就好办啦!
从恶意链接上下载到APK,考虑到是恶意应用程序,先不急着安装,反编译一下看看这到底是个什么玩意。直接拖进Android killer,查看AndroidManifest.xml:直接反编译APK查看XML文件代码
一目了然,发现一些监控手机功能代码,还有读取短信、通讯录、结束进程等木马权限列表。
这个木马并没有做代码混淆,直接反编译beckham.owen就能看到Java源代码,首先看到的东西很令人惊讶:
不需要仔细看,就知道终端发送短信息和通讯录是失败的提醒信息。
这一句话就是木马传播的核心,获取通讯录并向联系人发送包含该木马下载链接的短信。通常在QQ或者邮件里发送恶意链接的话都会被检查,而现在的短信却不具备检查内容的安全机制,这是该木马最大的亮点。
WelcomeActivity开启群发短信的进程后,继续启动MainActivity,在MainActivity里找到三个if语句:
不难看出,这就是登陆按钮的事件处理,三个if语句以各种理由拒绝用户登陆。
继续查看smali目录,发现有如下几个包
简略看了看源码, beckham包跟其他几个包代码风格不一样,应该是作者找的开源包,只有beckham包才是木马功能真正的实现部分,所以只需要把精力放在这个包上就可以了。
紧接着,不难看出木马核心会通过系统版本信息来判断发送短信。
以后全部通过通讯转发信息
在util中发现者a.class中发信敏感信息木马作者将自己的邮箱和密码全部暴露在了代码里,我也醉了!
最后发现该黑客邮箱是禁止web登陆的 用客户端成功登陆,登录后发现很多已经中招的受害人信息
下面是受害人手机通信里被发现的已经被发送的信息。
同时也有很多受害人中招的被骗信息记录:
那么我们就来分析下这个短信,该短信共有3个操作命令:
1、 readmessage:发送邮件命令,启动MySendEmailService,将收件箱和发件箱的短信以邮件形式发送;
2、 sendmessage:发送短信命令,能控制该手机发送任意短信到任意号码;
3、 test:测试命令,以短信发送至150*******,以此来伪造任意地址、任意内容的短信,读取联系人信息,以邮件方式发送。
在此清晰明了木马的大体架构,该木马利用指定号码发送短信,控制肉鸡将隐私信息以邮件形式发送到自己的邮箱。
打完收工咯!!! 一条短信引发的血案!!!