【移动样本分析】一款短信拦截马简单分析与卸载介绍

2017年1月17日 227点热度 0人点赞 0条评论

目前安卓最常见的恶意软件无非就是短信拦截马、锁机勒索两种。
短信拦截马,最普遍的是邮箱版,这个首先是成本低,其次技术含量低。可以说目前在传播的几款拦截马都是大同小异,有的就是同一款。
有的头脑聪明些会采用个人域名邮箱、寻找加固软件加密,但是这样兼容性会大大下降,还有的会采用服务器接收。

而往往容易中招的是那些没有一点基本常识的人群。

今天说的是这款http://www.52pojie.cn/thread-574044-1-1.html
软件是加固处理的:腾讯乐加固

脱壳后的dex见论坛原帖

脱壳处理后一切就简单了(手机号、邮箱未做任何加密处理,我想此人就是会点简单修改罢了)
下面就贴出主要信息(论坛这类软件详细分析太多了,这里不重复)

手机号 18814487741
接收邮箱 [email protected]
邮箱密码 QAZwer789


图片图片图片 
图片图片图片
大概流程我说下,详细分析意义不大,对于看不懂代码的还是看不懂 ,能懂的一会儿自己看脱壳后的dex
1.安装后打开——软件会弹出在设备管理器激活页面并隐藏图标——后台发送短信(手机型号IMEI)给指定手机号——同时读取联系人和短信发送邮箱——之后就是后台运行
2.软件带有开机自启,后台实时监听短信并上传邮箱和发短信到指定手机号
3.软件还带有远程指令(控制发发短信,设置来电转移,获取通讯录。。。)群发功能,安卓4.4系统及以下能够完全屏蔽手机显示收到的短信。

这些基本上是针对安卓4.4及4.4以下系统

对于卸载这类软件这里有必要详细说一下

卸载方法有很多,这里介绍部分
1.正常卸载:软件无非是激活了设备管理器和隐藏了图标,去设置—安全—设备管理器(有的手机是其他地方,百度一下),找到拦截马,取消激活。然后到应用管理正常卸载。
2.对于拦截马做了防取消激活处理:卸载方法是利用ROOT权限,最快捷方法安装360手机急救箱扫描一下,可轻松找到卸载。还可以用RE管理器在有ROOT权限下在  根目录/data/data/   目录下找到木马对应包名,删除这个包名文件夹重启手机即可。
3.无法获取root又无法正常取消激活、自带安全软件扫描到却无法删除:下面任选一种
(现有数据会丢失,建议先备份重要数据)

(1) 禁止木马自启、禁止该木马软件获取任何权限(这种方式一般在安卓5.0以上均可使用)
(2) 进入rec模式wipe双清
(3)刷手机官方线刷包进行处理(注意:是线刷包)

总结:

这类软件基本上都是短信链接传播,以各种方式诱导用户安装
对于这种软件可谓是可防不可终止,各位最好还是安装一个杀毒软件。

传播这些短信拦截马大多数是小学生,还有就是想着轻松赚钱的人,这里有必要奉劝各位还是做点正事,别以为没什么(目前也有上央视的)小打小闹无所谓,万一哪天你遇到了才后悔就迟了!

值得思考的是安全公司并非要赶尽杀绝这类垃圾软件,我想也是为自己公司着想,不然安全软件安装量怎么上升?

不足之处请指出!
——By  笑对VS人生

续:刚才登录这个人邮箱发现22页的邮件已经有人中招,这些木马传播者这真的是活的不耐烦了!
图片图片


--官方论坛

www.52pojie.cn

--推荐给朋友

公众微信号:吾爱破解论坛

或搜微信号:pojie_52

图片

33590【移动样本分析】一款短信拦截马简单分析与卸载介绍

这个人很懒,什么都没留下

文章评论