大年初六,大家还沉浸在新年喜庆中呢,从多个朋友那里听到春节期间收到一些特别的“问候”。这些混杂在拜年短信里的消息,又搭上了红包这个热词,明眼人能发现这是来自黑产的杰作,而普通用户就很容易中计了。
还原短链接,真实网址为http://nihao.dlapkb.com。
试图PC浏览器访问地址,发现会跳转到http://safe.webscan.360.cn/stopattack.html, 开始以为是因为360安全检测限制了访问。
wvs扫描,并查看源码,原来是做了useragent的判断,如果不是手机访问,就跳转到360页面。360躺枪。
然后就可以顺利下载恶意apk程序了。
反编译后分析源码,apk有读取联系人信息并发送短信的功能。但未发现有上传用户通讯录、短信的行为。
进一步做关联分析,发现dlapkb.com域名联系人,在2015年12月19日,同时注册了dlapka.com,dlapkb.com,dlapkc.com三个域名。可见放马者是早有准备。放马者用同样的邮箱注册过多个域名,有一些也看的出来,不像善类,比如这个apk176.com也很可疑。放马者在2016年1月27日注册了一个新的域名,值得关注。
访问dlapka.com、dlapkc.com均下载到dlapkb.com下文件名一致的恶意apk。分别做分析发现,三个apk的区别就在发出短信内容的细微差别上。前面短信的内容是以拜年,红包为主,今天下载到的三个apk发送短信内容都变成了聚会照片,看来是对源码进行了修改。对应的短链接仍指向dlapka.com,dlapkb.com,dlapkc.com三个域名。
至此,我们大致有了一些了解。
1、先用红包做诱饵,借新年这一时机进行传播。随后又对源码做了修改,变成了过年聚会相册传播,非常精准的把握住了大家的心理。做黑产也确实挺拼的……
2、批量注册域名、生成短链接,多线传播。
3、对用户访问终端做严格判断,提高传播效率。
4、除了冒用用户名义滥发短信,分析未发现搜集用户信息行为,是否放马者只是牛刀小试,还有后续动作?
后续,今天发现木马服务器仍在存活,并且将木马文件名做了修改。勤奋啊。。。