这两天,各种友人收到了各种短信如下:
发短信过来的如果是熟人,很不幸,他中毒了……记得提醒他。常见安卓木马的传播机制我们说过,木马小哥首先会通过猫池、伪基站等等方式发一波到目标手机上,如果有人点击并安装,木马会自动向通讯录中的熟人继续发送钓鱼文本和链接。这一波传播就会更加精准,因为大家都比较信任熟人。
那么这次,我们来探讨下木马小哥的一个小心思,他会用迷之连环套,尽量保证自己木马的传播力。
观察这些短信里的恶意url,这些短信涉及到两个域名,一个是wxypc.com,一个是cxpfsw.com,木马小哥的服务器设置了好多不同的url,每一个对应一个apk文件,那么这两个表面上看起来没啥关系的域名,到底是不是一个木马小哥弄得呢?
让我们顺藤摸瓜来看一个看。
wxypc.com/wqeh
我们从wxypc.com/wqeh这个链接开始,下载了对应的apk文件。
反编译后,找到了木马自动转发部分代码,得到第2个url
文件名:shipin.apk
包名:net.liyangdageke
回传数据邮箱:548478441@hhuhgg.com
smtp服务器:smtp.mxhichina.com
远控手机号:18053126510
wxypc.com/xzcd
继续下载,反编译,第3个,回传邮箱一样,远控手机号18058745472
wxypc.com/grtd
继续……第4个,回传邮箱一样,远控手机号18058745472
wxypc.com/hdfe
再继续,第5个,回传邮箱一样,远控手机号18058745472
wxypc.com/wert
再继续,第6个,回传邮箱一样,远控手机号18058745472
然后再继续…以为会无限循环下去
wxypc.com/luxi
从这个url下载,反编译,然后发现了惊喜,看两个域名关联起来了,回传邮箱变成了534545465@qq.com,手机号:18053126510,包名也变成了com.nayiyeyiyese
我们继续
cxpfsw.com/efgrt
再继续
cxpfsw.com/fdsfe
再再继续
cxpfsw.com/hzcdg
坚持住!继续!
cxpfsw.com/xddsr
再坚持!继续!
cxpfsw.com/xzcze
再再坚持…!再继续!
cxpfsw.com/zxcvd
再再再坚持!再再继续!
cxpfsw.com/cvrer
……这个url熟悉了吧
累,终于完成了一个循环……我就问问木马小哥你累不累…….
别急,重新回到本文一开始的wxypc.com/wqeh下载试试…
前面几个url下载的apk全部替换,转发内容全部变成了“这个 录 相 你瞧一瞧cxpfsw.com/dsfew”,回传数据邮箱全部替换为,手机号统一变成了18053126510
木马小哥运筹帷幄,果然是有严密规划的,好一出木马连环套。
那么明天,再试一波,也许又会有变化了。
针对这种木马小哥,做个探讨:
1.虽然有10多个不同的url对应的apk,但实际上都是基于同一个样本修改的。图标、包名、关键信息等都可以用来同源分析。
2.为了防止恶意url被封,木马小哥会频繁更换域名,也会通过设置会在木马中留下“后手”。比如wxypc.com/***这些链接在传播了将近一天后,访问时浏览器、安全软件会有报警提示,于是木马小哥很快更换了样本,再次传播就将受害人引向了cxpfsw.com/***。
3.对样本的监测应该动态持续进行,从一个url很可能关联出非常多的其他样本和线索。
那么你觉得木马小哥是用自动工具,还是手工的方式实现连环套的呢?知道内幕的请联系我!