V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
KiseXu
V2EX  ›  Android

请大家帮忙分析 Android 手机木马

  •  1
     
  •   KiseXu · 2017-02-09 17:06:12 +08:00 · 11411 次点击
    这是一个创建于 2877 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Android 手机木马是电信诈骗的一种衍生手段。一般截获的 Android 手机木马基本模式是中马后会上传用户的短信、通讯录信息到一个指定的邮箱中,然后会向通讯录里的所有联系人发短信,诱使人们点击木马链接。部分木马有远程控制功能。以往我会通过反编译获取木马通信的邮箱和手机进行侦查、拦截,控制木马传播。

    前几天我拿到一个新的木马样本,通过反编译和以往的大多数 Android 手机木马不太一样。我并非专业 Android 程序员,恳请各位帮忙分析一下这个木马的模式功能,以便获取新的线索追查下去。木马下载地址: http://pan.baidu.com/s/1o8pY3QM

    O(∩_∩)O 谢谢
    16 条回复    2017-02-12 18:56:11 +08:00
    Zirconi
        1
    Zirconi  
       2017-02-09 17:17:19 +08:00   ❤️ 1
    加固了。还是企鹅家的加固。
    KiseXu
        2
    KiseXu  
    OP
       2017-02-09 17:20:45 +08:00 via iPhone
    @Zirconi 我还以为那个腾讯的 SDK 是个数据统计模块
    Zirconi
        3
    Zirconi  
       2017-02-09 17:26:41 +08:00   ❤️ 1
    @KiseXu libBugly.so 确实是企鹅的崩溃数据统计
    zhaohui318
        4
    zhaohui318  
       2017-02-09 18:41:52 +08:00
    baiduyun 不装客户端不能下载吗?这么垃圾的服务也有人用?
    KiseXu
        5
    KiseXu  
    OP
       2017-02-09 19:22:15 +08:00 via iPhone
    faceair
        6
    faceair  
       2017-02-09 20:18:40 +08:00   ❤️ 1
    lizhenda
        7
    lizhenda  
       2017-02-09 20:44:59 +08:00   ❤️ 1
    可以去看雪啊
    Aquamarine
        8
    Aquamarine  
       2017-02-09 22:40:18 +08:00   ❤️ 1
    可以去吾爱问问
    Zirconi
        9
    Zirconi  
       2017-02-10 09:18:40 +08:00   ❤️ 1
    确实有拦截短信的行为,脱壳之后应该就能正常分析了吧。
    KiseXu
        10
    KiseXu  
    OP
       2017-02-10 10:48:39 +08:00 via iPhone
    @Zirconi 可以脱壳吗
    monsoon
        11
    monsoon  
       2017-02-11 00:48:12 +08:00 via Android   ❤️ 1
    今天我家人中了这个病毒,然后我看了下这个,还没怎么反向,但是我感觉去壳难度并没想象中那么大。
    这个病毒还另外和几个网站挂钩,网站 ip 在香港。
    这个应用会在安装好后打开后申请联系人权限,然后群发短信给你通讯录里的人。短信里面有个网页地址,那个网页地址可以下载到这个 apk 。另外应用在启动后会把自己从桌面 /抽屉隐藏掉自己的图标。
    如果要删除的话,你要进设置里应用里删除这个软件。
    其他功能我就不确定了,我也懒地研究。

    这几天如果我能找到什么举报电话(网警)的话,我就把把它举报了,或者打 100 ,让网警来😶。
    monsoon
        12
    monsoon  
       2017-02-11 00:54:22 +08:00 via Android   ❤️ 1
    其实那应用附带的网页我也看了一下感觉代码写的不是很好,很多东西做的也很潦草。所以我猜想应用也只是简单套了一个壳。
    不过楼主能告诉我你也在问这个 apk 的理由吗,是因为你身边的人也中了这个木马吗?
    KiseXu
        13
    KiseXu  
    OP
       2017-02-11 12:25:11 +08:00 via iPhone
    @monsoon 大兄弟,我就是警察。
    去年我们已经关了几十个木马了,木马团伙也抓了很多。之前世面上 90%的木马都长一个样。这个木马是新的。而且下载链接也对 user agent 进行了判断, Android 手机会下载木马, iOS 和 PC 会打开一个黄色 app 。
    如果你能分析出这个木马上传数据的方式,可以和我联系哈,我的微信是 kisexu ,邮箱是 kisexu 「 at 」 gmail.com
    KiseXu
        14
    KiseXu  
    OP
       2017-02-11 13:02:33 +08:00
    @monsoon 不知道是不用用腾讯的这个服务加壳的: https://www.qcloud.com/product/cr
    sobigfish
        15
    sobigfish  
       2017-02-11 22:36:47 +08:00   ❤️ 1
    @KiseXu #14 如果的是腾讯加的,他们应该有 unpack 工具吧,开搜查令去找他们-。-
    KiseXu
        16
    KiseXu  
    OP
       2017-02-12 18:56:11 +08:00 via iPhone
    @sobigfish 谢谢 ^_^
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1037 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 20:41 · PVG 04:41 · LAX 12:41 · JFK 15:41
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.