作者:
瘦蛟舞
·
2014/09/18 14:51
0x00 起因
WooYun: 仿冒電信運營商掌上營業廳的大規模釣魚事件(大量使用者銀行卡中招CVV2與密碼洩露)
然後有大牛在某電信網廳釣魚站找到一款android app讓我看看,就有了接下來的分析。
0x01 觀察
拿到應用後先裝到測試機上觀察下,啟動程式後立即監控到其向15501730287號碼傳送簡訊,內容為軟體已安裝,但未被jh。當前手機型號nexus5。
之後跳轉到要啟用裝置管理器嗎?的介面,如果不小心點了啟用那解除安裝就將需要點手法了。
不root的話需要到裝置管理器裡取消勾選才能正常解除安裝,如果root也可以直接刪檔案。
當受害者點選啟用後還會傳送簡訊通知駭客
當然你點取消同樣也傳送簡訊駭客
當完成這一系列動作後發現木馬程式圖片消失,並且無法透過系統自帶應用管理直接解除安裝。
0x02 分析
之後是解包反編譯看原始碼咯,當然沒有想象的順利。因為這些個木馬要對抗殺軟肯定經過加殼處理的。在apk包中看到了libAPKProtect.so這個東西,那接下來就要針對性的脫殼啦。選擇使用zjdroid(需xposed框架)脫殼。大致流程如下:
新增locat:zjdroid-shell-com.oliuyht.iujyhtgr.m
得到PID:the app target id = 5585
am broadcast -a com.zjdroid.invoke --ei target 5585 --es cmd '{"action":"dump_dexinfo"}'
filepath:/data/app/com.oliuyht.iujyhtgr.m-1.apk mCookie:1899531496
am broadcast -a com.zjdroid.invoke --ei target 5585 --es cmd '{"action":"dump_class","dexpath":"/data/app/com.oliuyht.iujyhtgr.m-1.apk"}'
am broadcast -a com.zjdroid.invoke --ei target 5585 --es cmd '{"action":"backsmali","dexpath":"/data/app/com.oliuyht.iujyhtgr.m-1.apk"}'
the dexfile data save to =/data/data/com.oliuyht.iujyhtgr.m/files/dexfile.dex
之後在用JEB或dex2jar反編譯,然後就可以靜態分析app了。檔案較少功能肯定不會太複雜,之前有提到過程式採用了apkprotect防護。
檢視配置申請許可權如下(到這裡目測是個簡訊劫持馬)
<uses-permission android:name="android.permission.WRITE_SMS"/>
<uses-permission android:name="android.permission.SEND_SMS"/>
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
配置檔案還註冊了兩個activity和兩個broadcast。
再看主介面程式碼,當主介面被第一次呼叫後就禁用此元件相應桌面圖片也會消失。
然後執行傳送簡訊軟體已安裝,但未被jh。n當前手機型號Build.MODEL,通知駭客。
啟動“啟用裝置管理”介面等待使用者點選(一定程度防解除安裝)。
程式總共發了7條簡訊6條是發給15501730287其中四條是安裝成功,啟用成功,傳送成功這類訊息用來判斷受害者狀態,剩餘兩條是用來竊驗證碼之類的機密簡訊。只有一條簡訊是根據駭客傳送的簡訊提取出號碼以及內容再傳送。就是說駭客可以用簡訊控制你傳送指定簡訊到指定號碼。
kigdgc類中硬編碼了駭客接收簡訊的號碼
整個app大致功能如下
0x03 總結
大致就分析到這裡,是一款可以竊取使用者電信以及透過簡訊遠端控制手機傳送任意簡訊的簡訊劫持木馬。駭客做了一系列的偽造和防禦比如:偽裝系統應用、隱藏圖示、加殼、this.abortBroadcast();隱藏指令簡訊。預計駭客可以透過簡訊控制受害者傳送一些吸費軟簡訊,或者傳送欺詐簡訊(比如大寶劍被抓給xxxxxxxx打2W塊才能放人)當然簡訊是從本人手機發出就更具欺騙性了。還可以藉此繞過一些驗證如預留手機確認等(結合上文提到的釣魚漏洞這個可能是主要目的)。
0x04 查殺
LBE正常查殺(安裝時就攔截到了)
騰訊手機管家未檢測到
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!