作者:consen
首先感谢安天AVL移动安全团队对技术执着的精神,元旦还在分析样本,给32个赞!这个是衍生于安天的一份木马分析报告之后的同一家族木马同源分析。样本来源于之前来自小孩同学家长的一个微信群询问:
样本分析:
MD5 值:5B58AE5878267049F7ACA0B5D8852E8D
SHA1值:77CDC4A20DDC15C44DFFCDF419B09EDB197CAB8C
恶意代码静态分析:
晚上在家没有专用的手机,不敢拿自己的手机做尝试所以只能静态分析(有送手机的吗?)……
通过针对样本时行逆向分析发现:
1、木马作者人心大大的坏:
public void a(String paramString)
{
SharedPreferences.Editor localEditor = this.b.edit();
localEditor.putString("cao_ni_ma_pojie_wo_de_mazi", paramString);
localEditor.commit();
做着黑产的同时还不忘唠叨两句分析木马的专家。
2、木马控制者所使用的手机号码用于对受控手机进行远程操作
public String d()
{
return this.b.getString("sj", "15019240***"); //号码为广东深圳 }
3、程序运行后判断系统时间
public String e()
{
return this.b.getString("a50", "2016-12-06 12:50:00");
}
4、用于接收用户手机号、短信等敏感信息的信箱和密码
public String i()
{
return this.b.getString("a70", "laonas*******@21cn.com"); //用于接收用户短信等信息
}
public void i(boolean paramBoolean)
{
SharedPreferences.Editor localEditor = this.b.edit();
localEditor.putBoolean("has_send_contacts", paramBoolean);
localEditor.commit();
}
public String j()
{
return this.b.getString("a80", "******123"); //密码
}
5、关键时刻来到啦,实时监测银行帐户的所有短信信息
6、木马获取大量的通讯录、银行帐号、金额及交易记录、短信等大量信息
安全建议
最后感谢:烽火台安全威胁情报联盟、安天AVL移动安全团队、神州网云、天际友盟