假期最后一天,收到王老师(同学)发现的一款安卓木马,最后发现该木马实则在去年年底就已爆发过一次。不过伪装手法有趣,值得学习。

木马分析


木马主要来源:酷安

不法分子将木马与各式各样的软件捆绑一起,比如目前我看到的几种(绿色守护/APP Setting/Root_Explorer_v4.0.5)

木马样本:timesync.apk

其他伪装或者捆绑名称:一键卸载大师/wallpapercropper/谷歌应用下载器/软件一键移动到SD卡

为了简单说明该木马用途,这里借用下猎豹移动安全实验室的分析结果:

该微信盗号木马暗藏于鱼龙混杂的各类第三方定制ROM和APP中,伪装为安卓系统服务模块,通过弹出伪造的微信登录和支付的钓鱼界面,获得用户的登录密码以及支付密码后,再通过监控用户短信等手段,远程窃取微信支付绑定的银行卡余额。

经过分析该木马主要功能为如下:

上报用户短信,劫持微信钓鱼获取密码and支付密码,上传微信数据,卸载微信,摧毁系统

具体功能可以看看我截的控制端的图:

2345截图20170212221306

其中远程命令里第4个挺有意思,手机变砖2333


拿到样本后是与Root_Explorer_v4.0.5在一起,于是通过反编译(具体步骤可看以前的文章http://rui0.cn/archives/54)在assets目录中找到木马样本timesync.apk再次进行反编译

可以看到木马样本的目录

2345截图20170212221845

打开res目录可以看到其所伪装所用素材

2345截图20170212221913

其他的xml懒得反编译了,在一堆乱码中我们勉强可以知道这伪装的内容(简单说用于制造微信提示符和后续登陆什么界面)

2345截图20170212222341

至于效果,我比较怂又懒所以这里直接盗用下网友neoFelhz的blog分析中找到的DBIn_K所提供截图(原文:https://blog.neofelhz.space/archives/lets-check-and-study-wechat-trojan.html

0000013.png

0000006.png

0000005.png

0000004.png

确实仿的挺到位,应该可以骗过一些网友了


接下来看看反编译下的代码

目录(基本看名字就知道用途了,也方便分析)

2345截图20170212222954

其中下方google框架gson,diskLrucache,Loopj-http等用于传输数据

1.钓鱼界面获取用户密码


木马过注册BootBroadcastReceiver进行自启动服务

伪造信息框提示

进行登陆劫持,支付密码劫持

2345截图20170212224247

2345截图20170212223818

2345截图20170212223737

2345截图20170212224428

至于效果也就是刚才上面我放的几张网友的图

 

2.上传用户微信目录数据


也就是刚才控制端截图中uploaddata实现跨设备微信登陆要求

2345截图20170212225134

 

3.进行短信拦截读取


光知道微信的密码当然无法从其他端直接登陆成功,所以这样才有了短信拦截,通过拦截短信验证码来获取登陆权限

2345截图20170212225432

 

控制端效果

2345截图20170212225629

 

4.然后其他一些好玩的功能


  • 创建虚假桌面快捷方式

2345截图20170212225806

  • 远程执行命令

2345截图20170212230018

自行找和控制端相对应的英文(懒得翻译了)

2345截图20170212230137

好吧翻译下就是控制端进行读取短信,卸载微信,下载什么数据,手机变砖(有趣) 等…

5.最后还是得从web入


代码里可以很轻松找到几个接口

11111

然后你需要userid

当然通过代码我们可以知道userid是手机的IMEI

但咋知道别人的…

于是作为一个很LJ的web狗在查whois被隐私保护,爆破半天目录找后台无果后我还是很机智的丢到sqlmap里

然后找到account中顺利找到userid

如果当时没看错数据应该有6k余也就是有将近6k人中过招,危害是很大的

2345截图20170212231635

最后控制端的效果图刚开始也放过了,其中比较有意思的是这个验证密码是否正确功能中的备注

2345截图20170212231938

2345截图20170212232104

嗯…盗刷的人也是很认真的..还有备注..


安全小贴士

(因为懒再盗用一波猎豹移动安全的话,既然是复制的这个…最后的广告我还是不删了..)

1、该微信盗号木马的传播渠道可能来自山寨APP,也可能来自非官方的刷机包。特别建议安卓用户不要轻易尝试非官方刷机包,尽可能不要ROOT安卓手机,仅在可靠的大的应用市场下载软件,不从任何短信中点击链接下载软件;

2、除非自己正在使用微信支付,否则不要在任何程序窗口中提供自己的微信支付密码。如果你不简单填写支付密码,小偷要破解微信支付密码,需要费一番功夫,小偷不会轻易得手;

3、如果你已经发现自己微信帐号资金被盗,请立刻联系微信官方客服申请冻结资金,再联系警方报案处理;

4、安装猎豹安全大师,防止手机中毒。

 

////对了最后有个小福利…

测试时无意中点开一个短信看时看到这样的内容(阅读顺序为上至下)

2345截图20170212233735

为女方点赞-.-

所以你短信里要有小秘密还是少下载安全性未知的apk吧

开学快乐

————-Ruilin 最后的假期的最后一晚上