简易查找短信马隐藏的账号密码

穿越蓝天 · 发表于 2015-9-5 12:01

本帖最后由穿越蓝天于 2015-9-5 13:46 编辑

使用改之理反编译，可查看到木马使用的权限

一般短信马都会往邮箱发送搜集的内容，所以我们重点查看mail相关的类，我们看到有个A2的类很关键，点击进去看。

在A2里，我们看到了邮件服务器地址和用户名、用户密码的变量
Mail localMail = new Mail(C2.MAILUSER, C2.MAILPASS);
localMail.set_host("smtp.163.com");

可见是调用了这个core，账号密码经过base64编码

查看到so文件

使用winhex打开so文件，可见到3段base64的字符串，没错，这个就是我们想要的账号密码。

最后，思路大概就是这样，是不是很简单啊。当然，你也可以用IDA来调试会更加直观更加专业。

azusys · 发表于 2015-9-5 14:01

穿越蓝天发表于 2015-9-5 13:48
火眼应该分析不出什么的。很少杀软能识别出木马。

可以的比如这个

火眼--结果分析--f35f21e08b22acb5ef07cb80edbce7a6 http://fireeye.ijinshan.com/anal ... c9463148&type=1

穿越蓝天 · 发表于 2015-9-5 14:08

azusys 发表于 2015-9-5 14:01
sorry 我理解错了我以为你想要的是短信收件人的电话呢··

之前我在我国外网站检测过，没发现异常。我也试下火眼。

穿越蓝天 · 发表于 2015-9-5 12:03

哎。我的图呢

无樂MWS · 发表于 2015-9-5 12:09

谢谢分享

张大腕 · 发表于 2015-9-5 12:14

图呢楼主。

7535668 · 发表于 2015-9-5 12:18

等图出来。貌似很牛掰。小白学习一下

azusys · 发表于 2015-9-5 12:18

可以直接上传木马文件到火眼

无丿言 · 发表于 2015-9-5 12:18

图呢楼主

@啧啧吃嘛嘛香 · 发表于 2015-9-5 12:30

我也想要图

q-147483 · 发表于 2015-9-5 12:46

希望大神有后续文章最好有图片

hlrlqy · 发表于 2015-9-5 12:47

图哪里去啦0.0

帐号		自动登录	找回密码
密码			注册[Register]

[Android 原创] 简易查找短信马隐藏的账号密码