专栏名称: 吾爱破解论坛
吾爱破解论坛致力于软件安全与病毒分析的前沿,丰富的技术版块交相辉映,由无数热衷于软件加密解密及反病毒爱好者共同维护,留给世界一抹值得百年回眸的惊艳,沉淀百年来计算机应用之精华与优雅,任岁月流转,低调而奢华的技术交流与探索却
目录
相关文章推荐
南国早报  ·  “内涵”网友,一女主播被开除! ·  19 小时前  
南国早报  ·  “内涵”网友,一女主播被开除! ·  19 小时前  
光伏资讯  ·  河北打响了分布式光伏入市的第一枪! ·  2 天前  
光伏资讯  ·  河北打响了分布式光伏入市的第一枪! ·  2 天前  
算法专栏  ·  周鸿祎称超95%中国电脑都装了360:不受微 ... ·  4 天前  
算法专栏  ·  周鸿祎称超95%中国电脑都装了360:不受微 ... ·  4 天前  
51好读  ›  专栏  ›  吾爱破解论坛

【移动样本分析】一款短信拦截马简单分析与卸载介绍

吾爱破解论坛  · 公众号  · 互联网安全  · 2017-01-17 17:24

正文

目前安卓最常见的恶意软件无非就是短信拦截马、锁机勒索两种。
短信拦截马,最普遍的是邮箱版,这个首先是成本低,其次技术含量低。可以说目前在传播的几款拦截马都是大同小异,有的就是同一款。
有的头脑聪明些会采用个人域名邮箱、寻找加固软件加密,但是这样兼容性会大大下降,还有的会采用服务器接收。

而往往容易中招的是那些没有一点基本常识的人群。

今天说的是这款http://www.52pojie.cn/thread-574044-1-1.html
软件是加固处理的:腾讯乐加固

脱壳后的dex见论坛原帖

脱壳处理后一切就简单了(手机号、邮箱未做任何加密处理,我想此人就是会点简单修改罢了)
下面就贴出主要信息(论坛这类软件详细分析太多了,这里不重复)

手机号 18814487741
接收邮箱 [email protected]
邮箱密码 QAZwer789


 

大概流程我说下,详细分析意义不大,对于看不懂代码的还是看不懂 ,能懂的一会儿自己看脱壳后的dex
1.安装后打开——软件会弹出在设备管理器激活页面并隐藏图标——后台发送短信(手机型号IMEI)给指定手机号——同时读取联系人和短信发送邮箱——之后就是后台运行
2.软件带有开机自启,后台实时监听短信并上传邮箱和发短信到指定手机号
3.软件还带有远程指令(控制发发短信,设置来电转移,获取通讯录。。。)群发功能,安卓4.4系统及以下能够完全屏蔽手机显示收到的短信。


这些基本上是针对安卓4.4及4.4以下系统


对于卸载这类软件这里有必要详细说一下

卸载方法有很多,这里介绍部分
1.正常卸载:软件无非是激活了设备管理器和隐藏了图标,去设置—安全—设备管理器(有的手机是其他地方,百度一下),找到拦截马,取消激活。然后到应用管理正常卸载。
2.对于拦截马做了防取消激活处理:卸载方法是利用ROOT权限,最快捷方法安装360手机急救箱扫描一下,可轻松找到卸载。还可以用RE管理器在有ROOT权限下在  根目录/data/data/   目录下找到木马对应包名,删除这个包名文件夹重启手机即可。
3.无法获取root又无法正常取消激活、自带安全软件扫描到却无法删除:下面任选一种
(现有数据会丢失,建议先备份重要数据)

(1) 禁止木马自启、禁止该木马软件获取任何权限(这种方式一般在安卓5.0以上均可使用)
(2) 进入rec模式wipe双清
(3)刷手机官方线刷包进行处理(注意:是线刷包)

总结:

这类软件基本上都是短信链接传播,以各种方式诱导用户安装
对于这种软件可谓是可防不可终止,各位最好还是安装一个杀毒软件。

传播这些短信拦截马大多数是小学生,还有就是想着轻松赚钱的人,这里有必要奉劝各位还是做点正事,别以为没什么(目前也有上央视的)小打小闹无所谓,万一哪天你遇到了才后悔就迟了!

值得思考的是安全公司并非要赶尽杀绝这类垃圾软件,我想也是为自己公司着想,不然安全软件安装量怎么上升?

不足之处请指出!
——By  笑对VS人生

续:刚才登录这个人邮箱发现22页的邮件已经有人中招,这些木马传播者这真的是活的不耐烦了!


--官方论坛

www.52pojie.cn

--推荐给朋友

公众微信号:吾爱破解论坛

或搜微信号:pojie_52

推荐文章
南国早报  ·  “内涵”网友,一女主播被开除!
19 小时前
南国早报  ·  “内涵”网友,一女主播被开除!
19 小时前
冲蒌老伍  ·  台山话狗弟耕田,以为好乐着
8 年前
地球知识局  ·  地缘看世界,一个有品位的地缘公号
7 年前