转载

当骗子遇上谦虚的大牛,结果是?

当骗子遇上谦虚的大牛,结果是?

BY:安络科技

3月8日对女性来说是个美好的节日,公司(安络科技)完美的福利让女同胞们早早的就去享受这美好的假期了,然而,公司一位谦虚的大牛却在这一天“险遭不测”,收到了伪基站发送过来的短信。

当骗子遇上谦虚的大牛,结果是?

谦虚的大牛不是吃素的,心血来潮,决定来个追本溯源,以下便是谦虚大牛的分析过程。

经过一番检测,发现网站其实就是个10086积分的假冒网站,老套路了,这里就不再赘述。不过捕获到一个新修改过的Android短信拦截木马。之前的拦截马基本都是没经过加密帐号密码的源码,很轻易的就发现了收信的邮箱、密码等。如下图:

当骗子遇上谦虚的大牛,结果是?

很明显,旧版本的时候木马作者喜欢使用163的手机邮箱作为收发信箱使用。Web貌似还无法进行登录,只能客户端进行收发。

下面再看看新修改过的木马。

当骗子遇上谦虚的大牛,结果是?

如上图,这个apk应该是3月7日放到网站上的,有可能不是很准,但根据网站的情况,基本上应该不会差太多。

当骗子遇上谦虚的大牛,结果是?

从代码的结构来看,跟上一个apk拦截马的基本相差不会太大,可见是同一团伙,或来自同一上层人员。或许是之前的拦截马被发现的次数较多了,WooYun网站上也有很多案例,基本上都属于同一类的APK。但是看现在这个,明显将邮箱信息和手机号码给加密了。

根据加密后的字符串来看,我们大致可以看出可能是通过DES加密的(这类基本上都是对称加密方式,加密方式应该也是存在代码中的),只要找到该加密类和Key就基本可以解开加密字符串了。

当骗子遇上谦虚的大牛,结果是?

但是混淆过的代码看上去就让人无语了,小菜我不懂java,一开始还一个个函数去看,发现DES加密解密类中有个“123456”,开始窃喜,以为找到Key了,后面一番尝试,这个Key根本就无法把加密的字符串还原,所以只好继续找其他方式去解这个东西了。

当骗子遇上谦虚的大牛,结果是?

接着又重新回到这个包含邮箱帐号密码的关键类,看是否有其他突破口。此时看到这个类中的方法中,关键的键值对会通过android的SharedPreferences写配置文件。看来该木马会将收信手机、收发邮箱帐号、帐号密码等信息写入到配置文件中。

当骗子遇上谦虚的大牛,结果是?

当骗子遇上谦虚的大牛,结果是?

安装这个apk之后果然在/data/data/tanglang.yushiting.cloud(apk包名)/shared_prefs/configurations_data发现存在明文的手机号码、邮箱帐号密码等数据。

友情提示:千万不要轻易的将未知apk安装在root过的手机上,即便安装了也请谨慎给予权限,毕竟无法保证对未知的程序进行彻底的卸载。

发现这些要花太多时间,而且安装这种apk还不安全。同时我也是个强迫症患者,不解出这些字符串就睡不着,所以还是想着用什么方法可以直接解出明文来。

当骗子遇上谦虚的大牛,结果是?

祭出神器JEB,该工具可以进行跟踪分析,我也是第一次使用这个工具,折腾了好久才会下面的方法……

当骗子遇上谦虚的大牛,结果是?

查看smail语言,查找交叉引用,找出哪些Class调用了本DES类。发现只有一个类曾调用了这个DES类,这样基本确定了那个类中可能存在跟Key相关的信息了,且可能就在上下文中。

当骗子遇上谦虚的大牛,结果是?

接着我们跳转到这个类,所谓没有对象就要new一个出来(o(∩_∩)o ),我们基本可以确定就是这里了,因为只有这里有个传参的字符串。接着我们就要通过这个可以来算密文解密后的明文了。

本人不懂Java,只好随便写了个解密类,效果如下图:

当骗子遇上谦虚的大牛,结果是?

接下来需要获取邮箱服务器信息,不知是不是163的邮箱需要实名的缘故,发现该apk使用的是腾讯企业邮?邮箱服务器信息如下图:

当骗子遇上谦虚的大牛,结果是?

最后便是验证,能利用上面的信息成功登录邮箱才叫成果。下图显示的这两条是我伪造的短信内容^_^。

当骗子遇上谦虚的大牛,结果是?

为了以后方便,专门编译了一个jar,以后直接输入加密字符串就可以解密了。

当骗子遇上谦虚的大牛,结果是?

最后还是那就话,尽量别下载未知的软件,就算下载了也别轻易的安装,即使安装了,也不要任意的给权限。

分析的比较粗糙,若有不对的地方或有更好的分析思路,烦请圈子里的大牛指正,谢谢!

本文由 360安全播报 原创发布,如需转载请注明来源及本文地址。本文地址:http://bobao.360.cn/learning/detail/2796.html

原文  http://bobao.360.cn/learning/detail/2796.html
正文到此结束
Loading...