查看: 34430|回复: 21

[红客焦点]一次格盘钓鱼网站之后引发的深思续集

[复制链接]
  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

    发表于 2016-2-12 18:08:10 | 显示全部楼层 |阅读模式
    本帖最后由 wuyan 于 2016-2-28 14:06 编辑

    上一帖http://www.ihonker.org/thread-7445-1-1.html。看到90大大说发帖有奖,我这个帖子压了10天了。发出来,很不容易,现在在蹭网,乡下没网苦逼。


    在上一篇文章,我们说到过的那个钓鱼网站。对上传进行了分析,里面提到的那个10086.apk,大家还记得吧。上次没啥时间,这次回家好好分析了下apk,当然咯,后面有彩蛋。

    拿到apk第一件事情,就是运行看下他的行为,然而很无情地被360给杀掉了。于是关了360了,在电脑上安装一个安卓模拟器。
    图片1.png
    图片2.png
    安装完是一个中国移动图标的应用,当我们点击打开的时候,神奇的一慕出现了。
    图片3.png
    申请屏幕控制权限,点击激活之后,发现.....................
    图片4.png
    toast了一个字符串,骚年别急,你真的以为他是卸载了?但是我们的确看不见app了
    图片5.png
    这种低劣的欺骗手段怎么能骗得了我,果断打开apkkiller分析,apkkiller里面集成了dex2jar,adb,apktool等工具,还是蛮顺手的。
    图片6.png
    载入之后发现不能还原成java,那没办法,我们硬着头皮上就是了。
    图片7.png
    3个activity,7个receiver,3个service,以及后面许许多多的权限 READ_SMS(读短信),SEND_SMS(发短信)。首先看下配置信息:
    图片8.png
    图片9.png
    1.隐藏方式
    看到程序的入口,第一个运行的activity,里面做了什么?我们进去看下,(当然是smali代码,不是java,代码相当长,逆向大哥可以去看看,只截取关键代码)
    里面一个函数a值得注意,
    图片10.png
    调用getPackManger方法获取一个tPackManger实例,然后调用了MyApplication类里面的b函数,用tPackManger调用getComponentEnabledSetting方法。
    图片11.png
    把结果传回V2,当v2等于0的时候,跳到cond_0
    Cond_0里面主要是setComponentEnabledSetting,里面传入参数,我们查看官方api得知他们的含义
    图片12.png
    跟踪参数
    图片13.png
    V2,v3的值分别是 1,2。结合api,我么可得知
    图片14.png
    图片15.png
    那么还原的源代码大概就是
    p.setComponentEnabledSetting(getComponentName(),
    PackageManager.COMPONENT_ENABLED_STATE_DISABLED,PackageManager.DONT_KILL_APP);
    里面还有一些goto逻辑,不是很复杂,分析出来的大致代码是
    PackageManager packageManager = getPackageManager();
            ComponentName componentName = new ComponentName(this, StartActivity.class);
            int res = packageManager.getComponentEnabledSetting(componentName);
            if (res == PackageManager.COMPONENT_ENABLED_STATE_DEFAULT
                    || res == PackageManager.COMPONENT_ENABLED_STATE_ENABLED) {         packageManager.setComponentEnabledSetting(componentName, PackageManager.COMPONENT_ENABLED_STATE_DISABLED,
                        PackageManager.DONT_KILL_APP);
            } else {        packageManager.setComponentEnabledSetting(componentName, PackageManager.COMPONENT_ENABLED_STATE_DEFAULT,
                        PackageManager.DONT_KILL_APP);
            }
    一段隐藏图标的代码,此后还开启了一个后台服务和一系列BroadcastReceiver(广播接收器)。
    图片16.png
    总结下mainactivity的主要事件就是隐藏图标,并toast”手机版本不兼容........,,以卸载”来迷惑用户,其实在后台偷偷的开启了一个服务,服务是在后台看不见的,会偷偷的运行。
    2.行为分析
    跟进服务,跟踪到
    图片17.png
    干,果然是contentprovider用来获去短信内容,包括
    图片18.png
    等等,发送人,内容等等信息。同样的还会获取手机联系人。继续
    图片19.png
    为每件业务开了独立线程。当然还有Mainservice里面也是获取各个铭感信息,并且申请权限。
    图片20.png
    还有这么多广播接收器,看字面意思就知道检测短信,网络,电话等等实时的变化。后面还有很多很多类,
    图片21.png
    (邮件的一些设置)
    其中一些比较铭感的字符引起我注意,顺藤摸瓜,继续跟踪
    图片22.png
    图片23.png
    这个类里面主要是作者的测试代码,包括判断安卓版本之类的,还有
    图片24.png
    ,果然最后还是被我找到了惊喜。
    图片25.png
    其中还有一些接收控制者指令做对应的操作,代码比较冗余,不能转化成java,特别费体力,就没看了。
    3.总结
    这是一款安卓木马,主要收集本机的一些信息,比如短信,手机联系人等等发送到控制者的163邮箱。同时还接受控制者的指令(控制方式为接受短信,然后自动删除控制者发出的指令短信),比如锁屏之类的。其实抓个包,也许就能看到邮箱的密码。(ps:邮箱我并没有登陆成功,可能上次服务器被搞之后,作者改了,不过查到号码是重庆人。
    图片26.png


    一次格盘钓鱼网站之后引发的深思(续集).docx (2.69 MB, 下载次数: 12)

    再上传附件吧,辛苦的打赏下。

    评分

    参与人数 6i币 +31 收起 理由
    细草微风岸 + 2 支持原创
    clocks + 6 感谢分享,分析的很仔细
    面包加火腿 + 5 厉害
    昊情· -2 就不能把手机号靓出来吗?
    xieselunhui + 10 浮尘的膝盖在此 请接下
    Te5tB99 + 10 666

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-2-12 18:09:09 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2024-1-11 16:11
  • 签到天数: 426 天

    [LV.9]以坛为家II

    发表于 2016-2-12 18:54:29 | 显示全部楼层
    666

    评分

    参与人数 1i币 -4 收起 理由
    clocks -4 感谢分享

    查看全部评分

    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-2-12 19:15:29 | 显示全部楼层
    看帖记得回复,你们看得懂看不懂都可以说
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2019-2-13 01:04
  • 签到天数: 306 天

    [LV.8]以坛为家I

    发表于 2016-2-12 19:34:07 | 显示全部楼层
    看不懂
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    擦汗
    2019-10-17 06:41
  • 签到天数: 182 天

    [LV.7]常住居民III

    发表于 2016-2-12 20:02:30 | 显示全部楼层
    你觉得能拿到奖吗?
    回复 支持 反对

    使用道具 举报

    头像被屏蔽
  • TA的每日心情
    奋斗
    2016-10-5 05:57
  • 签到天数: 65 天

    [LV.6]常住居民II

    发表于 2016-2-13 06:56:14 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-2-13 09:08:57 | 显示全部楼层
    小圈圈 发表于 2016-2-12 20:02
    你觉得能拿到奖吗?

    这么有深度的帖子,你们又看不懂,太浅了的,我又不想写,最起码能搞到内网渗透我才会去写。。。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

     楼主| 发表于 2016-2-13 09:10:04 | 显示全部楼层
    在论坛大部分技术贴是不会有多少人回复的。。
    回复 支持 反对

    使用道具 举报

  • TA的每日心情

    2021-10-28 11:09
  • 签到天数: 473 天

    [LV.9]以坛为家II

    发表于 2016-2-13 09:15:07 | 显示全部楼层
    虽然看不懂,不过大大刺激了我要好好学习
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-22 17:09 , Processed in 0.049908 second(s), 21 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部