针对一个盗刷银行卡的APK 木马分析

androidapp

今天在论坛看到有个 求分析帖子   
话说一个盗刷银行卡的APK ，盗走了他朋友1W RMB. 有滴多啊
小弟也是第一次在52发帖   说得有什么不对的，请见谅
文字逻辑不强啊   
首先我在他这个帖子 下载了木马样本

在手机上安装试了下    安装完成之后，首先就需要我允许发送短信
当然我是拒绝的
安装完成之后几秒之后  图标不见了    已经隐藏了  隐藏图标其实很简单（不用觉得很神奇）
那么接下来 我们就来反编译这个 APK木马吧  
这个 红色实线圈起来的字符串很可疑啊   我们再来看看 源码


那么很有可能就是  接收短信的手机号码    我已经知道它的是经过DES将字符串加密过的  
接下来就找密钥吧 。。


不用多想   这就是它的 密钥    因为我已经测试过了    
密钥我就不贴上了    以免被某些人利用去

接下来就是DES tools  加解密工具派上用场了   

这里 可以看到  解密出来的  就是一个手机号码  
下面还有邮箱 和邮箱密码  
使用的是新浪的vip 邮箱   smtp.vip.sina.com  这个是邮箱服务器

没什么好考虑的    可以断言这就是个 拦截木马     其功能就是拦截手机短信  包括验证码之类的  还可以获取手机的联系人和历史短信   
够猥琐的 。。
就像之前的那位朋友说  安装了之后 打开了支付宝 就被盗刷了   其实不然  如果你安装了 就算不打开支付宝  也有可能被盗刷！
但是此类木马也并不是那么可怕，首先尽量不要安装别人提供的什么具诱惑性的APK    就算需要安装，
只要我们安装的时候 仔细观察 它需要我们给与的权限    发现图标不见了  或者可疑迹象 就到设置里 设备管理器 取消激活
在已安装的软件里  即可卸载掉  
今天到此为止吧   

小小萝卜

我觉得分析有点太简单了，也没有深入，比如说怎么盗刷的

androidapp

LOVE_TT 发表于 2016-5-6 09:35
楼主反编译用的是啥？ 不是IDA吧 还有怎么就知道是DES加密的？ 密钥在哪你得教我们怎么找啊 我也在看着玩意 ...

密钥很好找  只要你会分析，  还有     我这篇帖子并不是教你怎么研究木马！

额爱破解

强势围观

你与明日

下面的分析呢   我菜鸟表示没研究过安卓

麻利麻利哄

分析的很不错，如果是视频教程就更好了，不过还是很感谢你的付出

androidapp

很抱歉     最后两张图  我本来是删了的   可是不知道怎么就一起发出去了   唉

冰楓丶殘瀷

前排出售晚饭

androidapp

True′end 发表于 2016-4-18 18:08
下面的分析呢   我菜鸟表示没研究过安卓

这就分析完了啊    还要分析哪下面啊  

androidapp

麻利麻利哄 发表于 2016-4-18 18:08
分析的很不错，如果是视频教程就更好了，不过还是很感谢你的付出

额 ，  那我有机会录个视频吧   谢谢

MagicnoBob

只看看不说话

androidapp

MagicnoBob 发表于 2016-4-18 18:14
只看看不说话

当然可以