纯小白系列(二):今天你中招了吗?对移动小小马的简单追踪
2017-05-03 10:57
176 查看
本文只是简单分析了一下,并顺头摸瓜……科普帖,大神勿喷
0x00 背景
中午准备小眯一会时,看到大学同学在朋友圈秀了张图,顺带发的说说----“致10年后的自己”。我就随手点了一下,看到了下图的信息。作为初入安全分析没多久的菜鸟,看到这个图片就大概知道是一个小马,尽管自己本身只是PC分析的,还是带着兴趣简单看了一下自己遇到的第一个移动小马。
0x01 工具相关
由于是自己第一次分析过移动端的小马,就各种搜帖子看,最后确定了2款安卓逆向工具(其功能大致差不多):Androidkiller和ApkIDE。个人比较中意AndroidKiller的界面,下面的分析就靠它了,还有一点就是要安装java
SDK的环境。
0x02 样本简单分析
1、获取APK样本
首先我们用IE访问shenmecs.com这个站点,这会提示出相应的APk程序(这里即chengjIDAn.apk)下载,其名字伪装成绩单软件。
Chengjidan.apk(MD5:C97612EAFBF4047277AA82737944C265)
2、样本主要功能
本身这个小马就没有什么加固和混淆,属于简单马,功能也比较简单,直接上AndroidKiller开撸。查看其字符串,全是明文信息,真没技术含量(特么已经是盗取别人信息,起码也得给自己的邮箱和密码加一下密吧,估计这人不懂技术找人买的马吧,因为在其他地方有看到base64算法及解码的地方),下面就简单说明一下吧。
①获取用户的通讯录信息后,直接上传到小黑客的新浪VIP邮箱上。
②获取被害者手机的信息后,同样也是直接上传到小黑客的新浪VIP邮箱里
③ 还有其它小功能,比如替换相关的字符串信息,如“验证码”替换为“演码”等等。
此马功能简单明了,就不过多的说明了,可能有些地方没分析到或者分析有误,大神们勿喷,下面就开始追溯源头了。
4000
0x03 黑客追踪
1、首先我们通过上面分析获取的邮箱账号及密码进行登陆,查看其小马是否还存活。登陆成功后,发现邮箱最前面收到的邮件新鲜的很。看之前的十多分钟没白忙活,总算有鲜活的数据了。全部是受害人的短信信息及通讯录信息。
查看其邮箱注册信息,发现此邮箱也是最近才开通VIP会员的,看看其注册时间显示是2016年5月10日,初步分析很难判断其是否是放马人的邮箱。
通过手机关联到了刚刚注册于浙江车贷网,并且在本月的13号才注册的,现在可以判断一号嫌疑人:万军(假名成分比较多) 电话:13104884224
2、经过查看邮箱信息,我们可以发现此邮箱保存了5月20号到今天的所有数据,其发送给受害人的手机号也是随机变化,我们在其邮箱中通过查看信息列表,获取了其最近使用的域名也是在变化的。
下面我们通过xuexioa.com反查注册邮箱,关联到了注册cuixiaowen168@163.com
以下是在邮箱信息中用于传播apk小马的域名列表:
xuexioa.com
xeuxiao.com
shenmecs.com
dfea.win
ccjdan.com
luijr.com
上面的域名或多或少都与成绩单有关,传播者主要就是抓住国内父母对子女成绩过分的在意,特意伪装成绩单的域名。这里我得和大家扯扯了,本身我们国内父母望子成龙(望女成凤)的思想很重,所以对待神马鬼考试成绩单非常看重,神马成绩下滑啊,成绩排名靠后啊、考试不及格等等……不得不说放马人也是抓住了国内父母的紧张孩子学习成绩的心态了。对于那些对互联网安全接触比较少的,基本都是中招了。
其次就是放马人通过讯录就能获取到相关人的真实姓名,然后在给发送信息的时候,有指名道姓的,让那些缺少安全意识的人,是该点击链接呢,还是点击链接呢?同时通信录里面的电话列表就是其后面的感染目标了。所以只要一人中招,其手机的里面的亲朋好友总会有个中招的吧,这样一直运转,直接就是树状发展了,感染面还是挺大的。
3、通过cuixiaowen168@163.com关联搜索到了一批伪装移动10086域名进行诱导人们去点击链接,下面是目前搜索到的域名信息:
ftdea.com
bj110086.com
10086jyih.com
i110086.com
l0086ijfa.com
jsi10086.com
ij10086.com
目前利用互联网就搜到这儿了吧,其放马人所有关联到的域名都是使用邮箱cuixiaowen168@163.com来注册,放马人可以称呼为崔某吧
0x04 总结
其实现在这种发虚假短信诱骗用户点击链接的方法屡见不鲜,其实手段并不高明,只要平时保证自己的安卓机别乱root权限,别随意去点击不明号码发来的链接,在去安装几个手机防毒防木马的软件,一般都能检出为木马。做为移动逆向不怎么懂的小白,写这篇科普文章鸭梨蛮大的,大神们勿喷哈。后面空了会花些时间学习一下移动方面的样本分析。
一直想做个系列的教程,手里也有很多自己分析过的报告,平时一忙就没去整理上传。下次抽空集体发出来吧。
0x00 背景
中午准备小眯一会时,看到大学同学在朋友圈秀了张图,顺带发的说说----“致10年后的自己”。我就随手点了一下,看到了下图的信息。作为初入安全分析没多久的菜鸟,看到这个图片就大概知道是一个小马,尽管自己本身只是PC分析的,还是带着兴趣简单看了一下自己遇到的第一个移动小马。
0x01 工具相关
由于是自己第一次分析过移动端的小马,就各种搜帖子看,最后确定了2款安卓逆向工具(其功能大致差不多):Androidkiller和ApkIDE。个人比较中意AndroidKiller的界面,下面的分析就靠它了,还有一点就是要安装java
SDK的环境。
0x02 样本简单分析
1、获取APK样本
首先我们用IE访问shenmecs.com这个站点,这会提示出相应的APk程序(这里即chengjIDAn.apk)下载,其名字伪装成绩单软件。
Chengjidan.apk(MD5:C97612EAFBF4047277AA82737944C265)
2、样本主要功能
本身这个小马就没有什么加固和混淆,属于简单马,功能也比较简单,直接上AndroidKiller开撸。查看其字符串,全是明文信息,真没技术含量(特么已经是盗取别人信息,起码也得给自己的邮箱和密码加一下密吧,估计这人不懂技术找人买的马吧,因为在其他地方有看到base64算法及解码的地方),下面就简单说明一下吧。
①获取用户的通讯录信息后,直接上传到小黑客的新浪VIP邮箱上。
②获取被害者手机的信息后,同样也是直接上传到小黑客的新浪VIP邮箱里
③ 还有其它小功能,比如替换相关的字符串信息,如“验证码”替换为“演码”等等。
此马功能简单明了,就不过多的说明了,可能有些地方没分析到或者分析有误,大神们勿喷,下面就开始追溯源头了。
4000
0x03 黑客追踪
1、首先我们通过上面分析获取的邮箱账号及密码进行登陆,查看其小马是否还存活。登陆成功后,发现邮箱最前面收到的邮件新鲜的很。看之前的十多分钟没白忙活,总算有鲜活的数据了。全部是受害人的短信信息及通讯录信息。
查看其邮箱注册信息,发现此邮箱也是最近才开通VIP会员的,看看其注册时间显示是2016年5月10日,初步分析很难判断其是否是放马人的邮箱。
通过手机关联到了刚刚注册于浙江车贷网,并且在本月的13号才注册的,现在可以判断一号嫌疑人:万军(假名成分比较多) 电话:13104884224
2、经过查看邮箱信息,我们可以发现此邮箱保存了5月20号到今天的所有数据,其发送给受害人的手机号也是随机变化,我们在其邮箱中通过查看信息列表,获取了其最近使用的域名也是在变化的。
下面我们通过xuexioa.com反查注册邮箱,关联到了注册cuixiaowen168@163.com
以下是在邮箱信息中用于传播apk小马的域名列表:
xuexioa.com
xeuxiao.com
shenmecs.com
dfea.win
ccjdan.com
luijr.com
上面的域名或多或少都与成绩单有关,传播者主要就是抓住国内父母对子女成绩过分的在意,特意伪装成绩单的域名。这里我得和大家扯扯了,本身我们国内父母望子成龙(望女成凤)的思想很重,所以对待神马鬼考试成绩单非常看重,神马成绩下滑啊,成绩排名靠后啊、考试不及格等等……不得不说放马人也是抓住了国内父母的紧张孩子学习成绩的心态了。对于那些对互联网安全接触比较少的,基本都是中招了。
其次就是放马人通过讯录就能获取到相关人的真实姓名,然后在给发送信息的时候,有指名道姓的,让那些缺少安全意识的人,是该点击链接呢,还是点击链接呢?同时通信录里面的电话列表就是其后面的感染目标了。所以只要一人中招,其手机的里面的亲朋好友总会有个中招的吧,这样一直运转,直接就是树状发展了,感染面还是挺大的。
3、通过cuixiaowen168@163.com关联搜索到了一批伪装移动10086域名进行诱导人们去点击链接,下面是目前搜索到的域名信息:
ftdea.com
bj110086.com
10086jyih.com
i110086.com
l0086ijfa.com
jsi10086.com
ij10086.com
目前利用互联网就搜到这儿了吧,其放马人所有关联到的域名都是使用邮箱cuixiaowen168@163.com来注册,放马人可以称呼为崔某吧
0x04 总结
其实现在这种发虚假短信诱骗用户点击链接的方法屡见不鲜,其实手段并不高明,只要平时保证自己的安卓机别乱root权限,别随意去点击不明号码发来的链接,在去安装几个手机防毒防木马的软件,一般都能检出为木马。做为移动逆向不怎么懂的小白,写这篇科普文章鸭梨蛮大的,大神们勿喷哈。后面空了会花些时间学习一下移动方面的样本分析。
一直想做个系列的教程,手里也有很多自己分析过的报告,平时一忙就没去整理上传。下次抽空集体发出来吧。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- Spark RDD/Core 编程 API入门系列之简单移动互联网数据(五)
- 使用OpenCV实现简单的移动物体检测和追踪
- wpf中listview就是可以这么简单——小白用listview系列
- Spark RDD/Core 编程 API入门系列之简单移动互联网数据(五)
- wpf中listview就是可以这么简单——小白用listview系列
- 【脑洞系列】c语言对死机系统的简单实现
- Jo——一个简单HTML5移动框架介绍
- ASP.NET MVC+EF框架+EasyUI实现权限管理系列(16)-类库架构扩展以及DLL文件生成修改和用户的简单添加
- C#强化系列文章八:HttpModule,HttpHandler,HttpHandlerFactory简单使用
- sql server clr 集成系列之二 简单的sql 函数
- ASP.NET AJAX入门系列(6):UpdateProgress控件简单介绍
- ASP.NET成员角色系列(二)--今天你"建模"了吗?
- SSE图像算法优化系列八:自然饱和度(Vibrance)算法的模拟实现及其SSE优化(附源码,可作为SSE图像入门,Vibrance算法也可用于简单的肤色调整)。
- 自己动手系列——实现一个简单的ArrayList
- C# Socket系列一 简单的创建socket的监听
- 深度学习系列(五):一个简单深度学习工具箱
- 简单移动动画
- 转载和积累系列 - Node学习 - 1. 创建简单的HTTP服务器
- PHP on Windows Azure 入门教学系列(2) ——利用SQL Azure做一个简单的访问计数器
- 简单的移动设备检测PHP脚本