【移动样本分析】仿《中华人民共和国最高人民检察院》钓鱼APP详细分析

报告名称：仿《中华人民共和国最高人民检察院》钓鱼APP详细分析
作者：Andy
报告更新日期：2017年5月21日
样本文件大小／被感染文件变化长度：505,420 字节
样本文件MD5 校验值：07689211B6FCCE45BD12259A489A4B6B
样本文件SHA1 校验值：458F456BCB4F6D783233C3AC026F96E014689CB4
壳信息：NO WRAPPER
可能受到威胁的系统：Android
名称：中华人民共和国最高人民检察院
包名：com.gmapp

主要描述：样本是一款钓鱼APP，随着电视剧人民的名义的热播，我们的最高检也成了热门IP，很多不法分子就利用最高检的热度，制作起了相关的病毒软件，近期发现的这款关于最高检的APP是一款很常见的钓鱼类APP。该病毒仿冒公检法,启动后试图窥视用户手机,并意图窃取用户短信,通讯录,地理位置等隐私数据,会造成用户资金损害；病毒在启动后提示用户将默认短信应用修改，监听用户的按键并将返回键重写失效；病毒监听用户电话状态，可能存在远程转接，造成不必要的经济损失。

详细分析：
0x00 运行界面


0x01获取权限
android.permission.READ_PHONE_STATE， 访问电话状态
android.permission.INTERNET， 访问网络连接，可能产生GPRS流量
android.permission.ACCESS_COARSE_LOCATION， 通过WiFi或移动基站的方式获取用户错略的经纬度信息(精度30~1500米)
android.permission.ACCESS_FINE_LOCATION， 通过GPS芯片接收卫星的定位信息(精度10米以内)
android.permission.ACCESS_NETWORK_STATE， 获取网络信息状态，如当前的网络连接是否有效
android.permission.ACCESS_WIFI_STATE， 获取当前WiFi接入的状态以及WLAN热点的信息
android.permission.READ_CONTACTS， 允许应用访问联系人通讯录信息
android.permission.SEND_SMS， 发送短信
android.permission.WAKE_LOCK， 允许程序在手机屏幕关闭后后台进程仍然运行
android.permission.INJECT_EVENTS， 允许访问本程序的底层事件，获取按键、轨迹球的事件流

0x02具体行为
该钓鱼APP在用户启动后自动获取用户信息上传，并试图将软件自身设置为短信应用以方便后续直接获取用户短信相关信息。
将自身设置为默认的短信应用

获取用户信息

抓包得到上传用户的信息


上传服务器地址拼接

钓鱼APP监听用户电话状态，可能存在远程转接，造成不必要的经济损失

钓鱼APP修改返回键，导致用户无法点击返回，返回键失效


在分析的过程中还发现了钓鱼APP的主界面

在主界面下方有三个按钮可以出发


可以清楚的看到该钓鱼网站采集用户的信息极其的详细，通过网页形式获取用户基本信息，然后通过恶意APP获取用户实时信息并做关联，这样一套完善的信息体系很快就能运转。
看到这里是不是感叹这些制作病毒的人很可恶，确实，这些人不择手段，获取用户最基本的信息，有可能售卖，有可能用来进一步诈骗，所以小白在这里提醒用户一定要在官方应用商城下载应用，并且手机上要安装安全卫士实时监测手机的安全。

接下来我们看看这个网站的相关信息

经过查询该二级域名还发现了其他的传播地址与钓鱼主页
可以看到IP地址是美国的，看来病毒制造者还是很谨慎的。
没有更多信息了，不知道广大的网友朋友们有没有可以更多追溯该APP来源的方法或者手段，不吝赐教。
本人小白，写得不好，希望可以帮助到很多的受害者，大神勿喷，谢谢。

0x03安全建议
从正规的应用商城下载应用，不随意点击别人给的下载链接
不贪小便宜，不要下载所谓的红包、刷钻、王能软件之类的应用
对自己不清楚的软件最好先使用模拟器安装，如果正常在安装亦无妨

0x04总结
广大的安全爱好者们如果也喜欢分享自己的劳动成果，喜欢破解一些游戏，喜欢解锁一些锁机软件，一起讨论关于软件安全的问题，一起破解我们想玩的游戏，一起研究很多好玩的东西。

--官方论坛

www.52pojie.cn

--推荐给朋友

公众微信号：吾爱破解论坛

或搜微信号：pojie_52