木马小哥的谜之连环套

围观次数:713 views

这两天,各种友人收到了各种短信如下:

image001

发短信过来的如果是熟人,很不幸,他中毒了……记得提醒他。常见安卓木马的传播机制我们说过,木马小哥首先会通过猫池、伪基站等等方式发一波到目标手机上,如果有人点击并安装,木马会自动向通讯录中的熟人继续发送钓鱼文本和链接。这一波传播就会更加精准,因为大家都比较信任熟人。

那么这次,我们来探讨下木马小哥的一个小心思,他会用迷之连环套,尽量保证自己木马的传播力。

观察这些短信里的恶意url,这些短信涉及到两个域名,一个是wxypc.com,一个是cxpfsw.com,木马小哥的服务器设置了好多不同的url,每一个对应一个apk文件,那么这两个表面上看起来没啥关系的域名,到底是不是一个木马小哥弄得呢?

让我们顺藤摸瓜来看一个看。

wxypc.com/wqeh

我们从wxypc.com/wqeh这个链接开始,下载了对应的apk文件。

image003
反编译后,找到了木马自动转发部分代码,得到第2个url

image005
文件名:shipin.apk

包名:net.liyangdageke

回传数据邮箱:548478441@hhuhgg.com

smtp服务器:smtp.mxhichina.com

远控手机号:18053126510

wxypc.com/xzcd

继续下载,反编译,第3个,回传邮箱一样,远控手机号18058745472

image007

wxypc.com/grtd

继续……第4个,回传邮箱一样,远控手机号18058745472
image009

wxypc.com/hdfe

再继续,第5个,回传邮箱一样,远控手机号18058745472

image011

wxypc.com/wert

再继续,第6个,回传邮箱一样,远控手机号18058745472
image013

然后再继续…以为会无限循环下去

wxypc.com/luxi

从这个url下载,反编译,然后发现了惊喜,看两个域名关联起来了,回传邮箱变成了534545465@qq.com,手机号:18053126510,包名也变成了com.nayiyeyiyese

image015
image017
我们继续
image019

cxpfsw.com/efgrt

再继续
image021

cxpfsw.com/fdsfe

再再继续

image023

cxpfsw.com/hzcdg

坚持住!继续!
image025

cxpfsw.com/xddsr

再坚持!继续!
image027

cxpfsw.com/xzcze

再再坚持…!再继续!
image029

cxpfsw.com/zxcvd

再再再坚持!再再继续!

image031

cxpfsw.com/cvrer

image033
……这个url熟悉了吧
image035

累,终于完成了一个循环……我就问问木马小哥你累不累…….

别急,重新回到本文一开始的wxypc.com/wqeh下载试试…

前面几个url下载的apk全部替换,转发内容全部变成了“这个 录 相 你瞧一瞧cxpfsw.com/dsfew”,回传数据邮箱全部替换为,手机号统一变成了18053126510

木马小哥运筹帷幄,果然是有严密规划的,好一出木马连环套。

那么明天,再试一波,也许又会有变化了。

针对这种木马小哥,做个探讨:

1.虽然有10多个不同的url对应的apk,但实际上都是基于同一个样本修改的。图标、包名、关键信息等都可以用来同源分析。

2.为了防止恶意url被封,木马小哥会频繁更换域名,也会通过设置会在木马中留下“后手”。比如wxypc.com/***这些链接在传播了将近一天后,访问时浏览器、安全软件会有报警提示,于是木马小哥很快更换了样本,再次传播就将受害人引向了cxpfsw.com/***。

3.对样本的监测应该动态持续进行,从一个url很可能关联出非常多的其他样本和线索。

那么你觉得木马小哥是用自动工具,还是手工的方式实现连环套的呢?知道内幕的请联系我!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助