吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13979|回复: 38
收起左侧

[移动样本分析] 捍卫正义_对两款加固短信拦截马分析与总结!

  [复制链接]
笑对VS人生 发表于 2017-3-16 18:15 来自手机
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 笑对VS人生 于 2017-3-16 20:08 编辑

    前言,收到论坛某个用户的消息邀请分析。下载附件看了下,两个软件名都标注测试,分明是赤裸裸的“挑衅”!

   既来之则安之

两个拦截马都是加固了的,分别是 乐加固2.10 和 网易云加固。
     为了分析,只能先脱壳

1.首先第一个是腾讯乐加固
http://www.52pojie.cn/thread-589273-1-1.html
脱壳出dex后发现许多工具没法直接打开编译,成功反编译后发现里面故意加了许多导致apktool出错的smali文件
这种情况之前我也在http://www.52pojie.cn/thread-526504-1-1.html提过

  解密后,发现此拦截马就是利用以前版本进行修改加固了而已,里面并没有配置接收邮箱和手机号,可以看出这不是个用来发布的,倒是像某些人故意放论坛压力测试。。。
       同时发现一个有趣的地方是,二次修改的作者还在首启Activity中加了hook签名,估计是有意躲避某些安全检测,然作用并不大。
Screenshot_2017-03-16-15-16-27.png Screenshot_2017-03-16-15-29-27.png Screenshot_2017-03-16-15-20-23.png Screenshot_2017-03-16-15-18-46.png



2.第二个是网易云加固
http://www.52pojie.cn/thread-588438-1-1.html
  也行许多人还没有听说过这款加固服务,由网易推出,由于用的人少,所以在加固安检方面没有做要求(来者不拒),只想说网易这样的服务恐怕不符合做安全加固服务要求,会被许多恶意开发者利用。
     脱壳出dex,拦截马相关信息一目了然,这个填写有相关接收信息。

邮箱 18359213254@163.com
邮箱密码 qq123466
手机号 18359213254 厦门  中国移动
Screenshot_2017-03-16-16-23-59.png Screenshot_2017-03-16-15-51-42.png Screenshot_2017-03-16-16-05-52.png
Screenshot_2017-03-16-16-25-25.png Screenshot_2017-03-16-16-06-44.png
     ( 邮箱密码已经改了无法登录)

  具体行为都与之前论坛朋友分析的差不多一样




    总结:

以上两款拦截马都具有许多相同之处行为:

1.安装后会引导用户激活设备管理器,也就是我们说的防卸载,激活或者取消软件都会弹出软件不兼容自动卸载假提示,
然后向默认封装的邮箱号发送安装成功信息及手机型号信息,然后进行隐藏桌面图标。

2.接下来进行发送收集到的短信与通讯录,然后就是更改系统短信应用默认应用,开启后台守护进程,进行长期监控短信后台发送到邮箱。

市面上还有许多类似的升级版:采用第三方加壳,把邮箱号手机号加密,服务器接收,恶意监视设备管理器导致取消不了激活。。。等等


如果不小心安装了这种软件,卸载方法可参照这篇文章http://www.52pojie.cn/thread-574361-1-1.html

这类拦截马无非就是通过短信链接传播,对于不懂软件的用户安装个安全软件基本上可以高枕无忧!



      从目前看来,这些软件已经过时了,目前基本上都在安卓5.0以上,这种软件无法后台长存,也难逃安全软件法眼!

      未来短信拦截马将渐渐消失,当然这并不意味着结束,未来大势所趋是恶意植入,简单的说就是一个正常的软件被植入恶意程序。
      
  所以在此也建议各位尽量少或者不要去使用那些所谓的外挂与官方软件的修改版,如果遇到不法分子植入某些恶意程序造成损失是难以挽回的。



     ”魔高一尺,道高一丈”

     正义必然凌驾邪恶之上

  


            By     笑对VS人生

免费评分

参与人数 19吾爱币 +26 热心值 +13 收起 理由
717zhicuo + 1 + 1 大神,威武!!!
MG小天 + 1 + 1 用心讨论,共获提升!
9g9g9g + 1 谢谢@Thanks!
ripples + 1 + 1 我很赞同!
Hmily + 8 + 1 用心讨论,共获提升!
独行风云 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
dreamer2020 + 1 用心讨论,共获提升!
forlife1 + 1 用心讨论,共获提升!
JasonSafe + 1 + 1 必须顶起
观世正宗 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lm531142331 + 1 + 1 谢谢@Thanks!
凌枫阁-枫 + 1 + 1 我很赞同!
heavy_fire + 1 + 1 我很赞同!
chenjingyes + 1 + 1 谢谢楼主分享!冲着加固破解来的
ya979 + 1 + 1 捍卫正义
zhatian + 1 用心讨论,共获提升!
55555555 + 1 + 1 支持楼主维护世界和平
我是英雄 + 1 我很赞同!
忧伤的鲍鱼 + 1 + 1 说得好

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 笑对VS人生 发表于 2017-3-17 10:01 来自手机
轩少 发表于 2017-3-16 22:38
请问有脱安卓加壳(加固)的相关文章吗?方便发下吗?

这个不会公开,你要清楚:腾讯是企业,网易也是企业。(据我所知腾讯与吾爱也是合作伙伴)
公开脱壳无疑是在自找烦恼!
我不叫冰零麦 发表于 2017-7-30 10:52
敬哥哥 发表于 2017-3-16 19:30
楼主,特别的感谢您。真的特别的好。分析的很到位。

每当看见紫霞姐姐,我都忍不住回复
头像被屏蔽
wanghai123 发表于 2017-3-16 18:40
Free杜 发表于 2017-3-16 19:20
感谢楼主
hanyuhang 发表于 2017-3-16 19:23
感谢楼主分享,学习了!
waterman 发表于 2017-3-16 19:25
比较经典的分析
7758520 发表于 2017-3-16 20:37

感谢分享
heiheiywp 发表于 2017-3-16 20:39
66666666666666666666
怖客123 发表于 2017-3-16 21:33
感谢楼主分析
168pojie 发表于 2017-3-16 21:41
谢谢分享。
慵懒丶L先森 发表于 2017-3-16 22:22
喜欢这种安卓逆向的技术帖子
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 19:03

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表