報告名稱：仿《中華人民共和國最高人民檢察院》釣魚APP詳細分析                                                
作者：Andy
報告更新日期：2017年5月21日
樣本文件大小／被感染文件變化長度：505,420 字節
樣本文件MD5 校驗值：07689211B6FCCE45BD12259A489A4B6B
樣本文件SHA1 校驗值：458F456BCB4F6D783233C3AC026F96E014689CB4
殼信息：NO WRAPPER
可能受到威脅的系統：Android
名稱：中華人民共和國最高人民檢察院
包名：com.gmapp

主要描述：樣本是一款釣魚APP，隨著電視劇人民的名義的熱播，我們的最高檢也成了熱門IP，很多不法分子就利用最高檢的熱度，制作起了相關的病毒軟件，近期發現的這款關于最高檢的APP是一款很常見的釣魚類APP。該病毒仿冒公檢法,啟動后試圖窺視用戶手機,并意圖竊取用戶短信,通訊錄,地理位置等隱私數據,會造成用戶資金損害；病毒在啟動后提示用戶將默認短信應用修改，監聽用戶的按鍵并將返回鍵重寫失效；病毒監聽用戶電話狀態，可能存在遠程轉接，造成不必要的經濟損失。


詳細分析：
  0x00 運行界面
  

0x01獲取權限
android.permission.READ_PHONE_STATE， 訪問電話狀態
android.permission.INTERNET， 訪問網絡連接，可能產生GPRS流量
android.permission.ACCESS_COARSE_LOCATION， 通過WiFi或移動基站的方式獲取用戶錯略的經緯度信息(精度30~1500米)
android.permission.ACCESS_FINE_LOCATION， 通過GPS芯片接收衛星的定位信息(精度10米以內)
android.permission.ACCESS_NETWORK_STATE， 獲取網絡信息狀態，如當前的網絡連接是否有效
android.permission.ACCESS_WIFI_STATE， 獲取當前WiFi接入的狀態以及WLAN熱點的信息
android.permission.READ_CONTACTS， 允許應用訪問聯系人通訊錄信息
android.permission.SEND_SMS， 發送短信
android.permission.WAKE_LOCK， 允許程序在手機屏幕關閉后后臺進程仍然運行  
android.permission.INJECT_EVENTS， 允許訪問本程序的底層事件，獲取按鍵、軌跡球的事件流


  0x02具體行為
該釣魚APP在用戶啟動后自動獲取用戶信息上傳，并試圖將軟件自身設置為短信應用以方便后續直接獲取用戶短信相關信息。
將自身設置為默認的短信應用
 
 
獲取用戶信息
 
抓包得到上傳用戶的信息
 
 
上傳服務器地址拼接
 

釣魚APP監聽用戶電話狀態，可能存在遠程轉接，造成不必要的經濟損失
 

釣魚APP修改返回鍵，導致用戶無法點擊返回，返回鍵失效
 

在分析的過程中還發現了釣魚APP的主界面
 
在主界面下方有三個按鈕可以出發
 
 
可以清楚的看到該釣魚網站采集用戶的信息極其的詳細，通過網頁形式獲取用戶基本信息，然后通過惡意APP獲取用戶實時信息并做關聯，這樣一套完善的信息體系很快就能運轉。
看到這里是不是感嘆這些制作病毒的人很可惡，確實，這些人不擇手段，獲取用戶最基本的信息，有可能售賣，有可能用來進一步詐騙，所以小白在這里提醒用戶一定要在官方應用商城下載應用，并且手機上要安裝安全衛士實時監測手機的安全。

接下來我們看看這個網站的相關信息
 
經過查詢該二級域名還發現了其他的傳播地址與釣魚主頁
可以看到IP地址是美國的，看來病毒制造者還是很謹慎的。
沒有更多信息了，不知道廣大的網友朋友們有沒有可以更多追溯該APP來源的方法或者手段，不吝賜教。
本人小白，寫得不好，希望可以幫助到很多的受害者，大神勿噴，謝謝。

0x03安全建議
從正規的應用商城下載應用，不隨意點擊別人給的下載鏈接
不貪小便宜，不要下載所謂的紅包、刷鉆、王能軟件之類的應用
對自己不清楚的軟件最好先使用模擬器安裝，如果正常在安裝亦無妨


  0x04總結
廣大的安全愛好者們如果也喜歡分享自己的勞動成果，喜歡破解一些游戲，喜歡解鎖一些鎖機軟件，一起討論關于軟件安全的問題，一起破解我們想玩的游戲，一起研究很多好玩的東西。（論壇禁止留群）