6.4 对一款手机木马的分析

随着智能手机的普及,网络安全离我们不再遥远,智能硬件漏洞、淘宝刷单等已经开始影响我们的生活,这也要求我们必须具有安全意识和安全常识。短信诈骗、冒充公检法机关欺诈、冒充家长转账的新闻常常见诸报端,其实这些手段并不高明——在收到这类信息后,冷静下来,仔细思考,认真核对,就能避免上当。下面给出一个案例来揭露手机APK短信欺骗。

6.4.1 对手机短信进行分析

在收到手机短信后,应当冷静地对其进行分析,步骤如下。

01 分析短信内容

在微信朋友圈中,笔者看到一位朋友发了一幅截图,如图6-21所示。短信内容很蹊跷:“**家长您好!这是贵子女新学期的体检报告和分班情况t.cn/RGHX9ml请您及时激活查看【和教育】”。对该短信进行分析,能够发现以下疑点。

0247-1

图6-21 奇怪的短信

02 还原链接地址

通过百度搜索到一个还原短地址的网站,如图6-22所示,在其中输入短信中提及的链接地址“t.cn/RGHX9m1”,将其还原为真实地址“http://link.zhihu.com/?target= http%3A//172.246.236.186:8080/3446/ziliaoRV.apk”,再变换一下,结果为“http:// link.zhihu.com/?target=http://172.246.236.186:8080/3446/ziliaoRV.apk”。

0248-1

图6-22 还原短地址为真实地址

该短信的真实目的是诱导手机用户下载文件“http://172.246.236.186:8080/3446/ ziliaoRV.apk”。也可以直接访问该短地址,访问后会自动跳转到目标网站并下载。如果使用手机访问,会自动下载apk程序并安装。

注意

千万不要安装!千万不要安装!千万不要安装!重要的事情说3遍!

03 获取apk程序

在浏览器地址栏中输入获取的地址“http://172.246.236.186:8080/3446/ziliaoRV.apk”进行下载,如图6-23所示,显示该文件已经被移除了。通过其文件名称可以判断该程序有多个版本、目的是什么——除了病毒程序,没有什么程序会这么做。我们通过猜测和扫描,获取了2套apk程序,分别是http://172.246.236.186:8080/0983/ziliao.apk和http://172.246.236.186:8080/1966/ziliao.apk。

0248-2

图6-23 apk程序已经下架

04 查询IP地址

收到不明短信后,不要第一时间打开或者执行其中的操作,可以先到网上搜索一下。如图6-24所示,经过查询,获知该IP地址在美国,也就是说,服务器是在美国托管的。为中国的中小学提供服务的服务器竟然是在美国托管的?据笔者所知,中国的学校大都使用校园网或者教育网,所以这条短信非常可疑。

0249-1

图6-24 服务器在美国托管

05 下载程序

使用浏览器对apk程序进行下载,如图6-25所示,可以看到该程序仅561kb。将程序下载到本地后,360安全卫士立即报警,显示该手机文件存在恶意行为,直接对其进行了隔离,如图6-26所示。

0249-2

图6-25 下载并获取程序

0249-3

图6-26 360安全卫士查杀apk程序

至此可以肯定,该短信存在问题,通过诱导手机用户下载apk,完全控制用户的手机,这就是我们经常听说的手机木马。

6.4.2 对APK进行反编译和追踪

获得可疑短信背后的手机木马后,我们就可以对该apk文件进行反编译,并对其行为进行追踪了。

1.反编译apk程序

反编译apk程序的步骤如下。

01 反编译程序

使用dex2jar 0.0.9.15对ziliao.apk文件进行反编译。将ziliao.apk解压到本地,将“ziliao”文件夹中的classes.dex文件复制到“dex2jar-0.0.9.15”文件夹下,执行命令“dex2jar.bat classes.dex”进行反编译,但出现了错误,如图6-27所示。

0250-1

图6-27 反编译失败

技巧

(1)可以直接将classes.dex文件拖动到dex2jar.bat文件上,程序会自动生成classes_dex2jar.jar文件,如图6-28所示。

0250-2

图6-28 反编译程序成功

(2)可以使用“d2j-dex2jar.bat classes.dex”命令进行反编译。

02 使用JD-GUI查看Java源代码

使用JD-GUI程序打开classes_dex2jar.jar文件,逐一查看Java程序代码。可以使用“Search”菜单对关键字(如“Email”、“password”、“sina.com”、“163.com”、“.com”、“.cn”)进行搜索。手机木马及其邮箱信息一般都保存在com/phone/db/a.class文件中。如图6-29所示,成功获取其用于接收信息的电子邮箱及密码。

03 登录邮箱并查看邮件内容

使用获取的邮箱账号和密码登录邮件服务器,如图6-30所示,该邮箱收到了14封邮件,邮件内容主要是挂马手机的通讯录和短信等信息。

0251-1

图6-29 获取邮箱及其密码

0251-2

图6-30 查看邮件内容

该apk程序会将受害者手机中的通讯录信息全部上传,这就解释了匿名者发送短信时是如何获取家长真实姓名的。

2.追踪apk程序

单击标题为“全部短信(68510027902492)”的邮件,该邮件的发件人为“a13145771966”,其邮箱“a13145771966@sina.com”就是apk指定的邮箱地址,如图6-31所示。

0252-1

图6-31 追踪邮件内容

安装了该apk程序的用户会自动将其手机中的全部短信发送到a13145771966 @sina.com这个邮箱中。该木马控制手机后,可以直接进行银行转账,如图6-32所示。

0252-2

图6-32 实施银行转账

6.4.3 手机APK安全防范

手机APK程序类似于Windows程序,手机木马类似于Windows木马。下面是一些可供参考的防范方法。

1.涉及敏感信息的手机要独立使用

为了保证手机交易的安全,在需要使用各种“宝宝”(如支付宝)进行支付的手机,以及绑定银行卡的手机上,一定不要安装来历不明的APK程序,甚至最好不要安装其他APK程序,连手机游戏都不要安装(目前,很多黑产已经盯上正规的APK程序,能够修改或者绑定手机木马到正常的APK程序中,手机游戏是“重灾区”)。

2.通过现实交流进行核实

仔细核对短信内容是特别重要的。不管收到什么样的短信,都不要着急,也不要立刻按照短信内容进行操作,而是要冷静下来,通过现实手段进行核实和排除。例如,到与信息内容相关的机构进行咨询,通过座机对来电进行识别,向家人进行核对和求助,从而检验信息的真实性。

3.通过技术手段进行核实

在本案例中有很多可疑的地方。针对短链接地址,可以通过搜索引擎进行查询。使用“ping www.somesite.com”命令能够获取网站的真实IP地址(有些恶意信息中给出的地址就是数字IP地址)。此外,查询IP地址所在地点也能排除欺诈。

4.使用计算机下载APK程序并进行病毒查杀

通过计算机下载APK程序,并使用计算机的杀毒软件进行查杀。一般的杀毒软件都能识别该APK是否为恶意程序。此外,可以通过APK程序的大小进行判断,通常木马程序APK的体积小于2MB。