報告名稱:仿《中華人民共和國最高人民檢察院》釣魚APP詳細分析
作者:Andy
報告更新日期:2017年5月21日
樣本文件大小/被感染文件變化長度:505,420 字節(jié)
樣本文件MD5 校驗值:07689211B6FCCE45BD12259A489A4B6B
樣本文件SHA1 校驗值:458F456BCB4F6D783233C3AC026F96E014689CB4
殼信息:NO WRAPPER
可能受到威脅的系統(tǒng):Android
名稱:中華人民共和國最高人民檢察院
包名:com.gmapp
主要描述:樣本是一款釣魚APP,隨著電視劇人民的名義的熱播,我們的最高檢也成了熱門IP,很多不法分子就利用最高檢的熱度,制作起了相關(guān)的病毒軟件,近期發(fā)現(xiàn)的這款關(guān)于最高檢的APP是一款很常見的釣魚類APP。該病毒仿冒公檢法,啟動后試圖窺視用戶手機,并意圖竊取用戶短信,通訊錄,地理位置等隱私數(shù)據(jù),會造成用戶資金損害;病毒在啟動后提示用戶將默認短信應用修改,監(jiān)聽用戶的按鍵并將返回鍵重寫失效;病毒監(jiān)聽用戶電話狀態(tài),可能存在遠程轉(zhuǎn)接,造成不必要的經(jīng)濟損失。
詳細分析:
0x00 運行界面
 
0x01獲取權(quán)限
android.permission.READ_PHONE_STATE, 訪問電話狀態(tài)
android.permission.INTERNET, 訪問網(wǎng)絡(luò)連接,可能產(chǎn)生GPRS流量
android.permission.ACCESS_COARSE_LOCATION, 通過WiFi或移動基站的方式獲取用戶錯略的經(jīng)緯度信息(精度30~1500米)
android.permission.ACCESS_FINE_LOCATION, 通過GPS芯片接收衛(wèi)星的定位信息(精度10米以內(nèi))
android.permission.ACCESS_NETWORK_STATE, 獲取網(wǎng)絡(luò)信息狀態(tài),如當前的網(wǎng)絡(luò)連接是否有效
android.permission.ACCESS_WIFI_STATE, 獲取當前WiFi接入的狀態(tài)以及WLAN熱點的信息
android.permission.READ_CONTACTS, 允許應用訪問聯(lián)系人通訊錄信息
android.permission.SEND_SMS, 發(fā)送短信
android.permission.WAKE_LOCK, 允許程序在手機屏幕關(guān)閉后后臺進程仍然運行
android.permission.INJECT_EVENTS, 允許訪問本程序的底層事件,獲取按鍵、軌跡球的事件流
0x02具體行為
該釣魚APP在用戶啟動后自動獲取用戶信息上傳,并試圖將軟件自身設(shè)置為短信應用以方便后續(xù)直接獲取用戶短信相關(guān)信息。
將自身設(shè)置為默認的短信應用
獲取用戶信息
抓包得到上傳用戶的信息
上傳服務器地址拼接
釣魚APP監(jiān)聽用戶電話狀態(tài),可能存在遠程轉(zhuǎn)接,造成不必要的經(jīng)濟損失
釣魚APP修改返回鍵,導致用戶無法點擊返回,返回鍵失效
在分析的過程中還發(fā)現(xiàn)了釣魚APP的主界面
在主界面下方有三個按鈕可以出發(fā)
可以清楚的看到該釣魚網(wǎng)站采集用戶的信息極其的詳細,通過網(wǎng)頁形式獲取用戶基本信息,然后通過惡意APP獲取用戶實時信息并做關(guān)聯(lián),這樣一套完善的信息體系很快就能運轉(zhuǎn)。
看到這里是不是感嘆這些制作病毒的人很可惡,確實,這些人不擇手段,獲取用戶最基本的信息,有可能售賣,有可能用來進一步詐騙,所以小白在這里提醒用戶一定要在官方應用商城下載應用,并且手機上要安裝安全衛(wèi)士實時監(jiān)測手機的安全。
接下來我們看看這個網(wǎng)站的相關(guān)信息
經(jīng)過查詢該二級域名還發(fā)現(xiàn)了其他的傳播地址與釣魚主頁
可以看到IP地址是美國的,看來病毒制造者還是很謹慎的。
沒有更多信息了,不知道廣大的網(wǎng)友朋友們有沒有可以更多追溯該APP來源的方法或者手段,不吝賜教。
本人小白,寫得不好,希望可以幫助到很多的受害者,大神勿噴,謝謝。
0x03安全建議
從正規(guī)的應用商城下載應用,不隨意點擊別人給的下載鏈接
不貪小便宜,不要下載所謂的紅包、刷鉆、王能軟件之類的應用
對自己不清楚的軟件最好先使用模擬器安裝,如果正常在安裝亦無妨
0x04總結(jié)
廣大的安全愛好者們?nèi)绻蚕矚g分享自己的勞動成果,喜歡破解一些游戲,喜歡解鎖一些鎖機軟件,一起討論關(guān)于軟件安全的問題,一起破解我們想玩的游戲,一起研究很多好玩的東西。(論壇禁止留群)
| 
