今年的3.15晚會(huì)異常精彩，網(wǎng)絡(luò)安全不再離我們那么遙遠(yuǎn)，智能硬件漏洞、淘寶刷單等已經(jīng)開(kāi)始影響我們的生活。如果您不懂網(wǎng)絡(luò)安全專(zhuān)業(yè)知識(shí)，沒(méi)有關(guān)系，但必須得有安全意識(shí)和安全常識(shí)。經(jīng)常聽(tīng)到周?chē)芏嗯笥训呐笥驯或_**萬(wàn)，什么手機(jī)短信詐騙，什么冒充公檢法欺詐，什么冒充家長(zhǎng)轉(zhuǎn)賬!其實(shí)這些并沒(méi)有那么神秘，在收到這些信息后，冷靜下來(lái)仔細(xì)思考，認(rèn)真核對(duì)，就會(huì)發(fā)現(xiàn)原來(lái)就是欺騙，避免上當(dāng)，下面以一個(gè)實(shí)際的例子來(lái)揭露手機(jī)APK短信欺騙。

[[163951]]

(一)對(duì)手機(jī)短信進(jìn)行分析

1.分析短息內(nèi)容

昨日，在微信朋友群中，朋友發(fā)了一張截圖，如圖1所示，短息內(nèi)容很蹊蹺“某某家長(zhǎng)您好!這是貴子女新學(xué)期的體檢報(bào)告和分班情況t.cn/RGHX9ml請(qǐng)您及時(shí)激活查看[和教育]”。對(duì)該短息分析：

(1)在該短息中明確獲取了家長(zhǎng)的真實(shí)姓名，應(yīng)該是獲取了通訊錄。

(2)短信是匿名發(fā)送，非好友或者學(xué)校老師。

(3)短信內(nèi)容明顯跟學(xué)校正常短息內(nèi)容有所異常，目前很多學(xué)校有通知都是通過(guò)微信群，使用短息發(fā)送消息較少。

(4)短信中涉及短地址，學(xué)校一般不會(huì)發(fā)送短地址。

圖1奇怪短信

2.還原鏈接地址

通過(guò)百度搜索到一個(gè)還原短地址的網(wǎng)站，如圖2所示，在其中輸入短線(xiàn)中提及的鏈接地址“t.cn/RGHX9m1”還原為真實(shí)地址為：

http://link.zhihu.com/?target=http%3A//172.246.236.186:8080/3446/ziliaoRV.apk

再次變換一下為：

http://link.zhihu.com/?target=http://172.246.236.186:8080/3446/ziliaoRV.apk

其真實(shí)目的是去下載“http://172.246.236.186:8080/3446/ziliaoRV.apk”。也可以直接訪(fǎng)問(wèn)該短鏈接地址，訪(fǎng)問(wèn)后會(huì)自動(dòng)跳轉(zhuǎn)到目的網(wǎng)站并進(jìn)行下載，使用手機(jī)訪(fǎng)問(wèn)會(huì)自動(dòng)下載apk程序并進(jìn)行安裝。

注意：千萬(wàn)不要安裝!千萬(wàn)不要安裝!千萬(wàn)不要安裝!重要的事情說(shuō)三遍!

圖2還原其短地址為真實(shí)地址

3.獲取apk程序

在瀏覽器中輸入剛才獲取的地址(http://172.246.236.186:8080/3446/ziliaoRV.apk)進(jìn)行下載，如圖3所示，顯示該文件已經(jīng)被移除了，通過(guò)其文件名稱(chēng)可以判斷出該程序有多個(gè)版本，目的是為了啥，大家可以猜測(cè)一下，除了病毒沒(méi)有啥程序會(huì)這樣。后面通過(guò)猜測(cè)和掃描獲取了2套apk程序。http://172.246.236.186:8080/0983/ziliao.apk和http://172.246.236.186:8080/1966/ziliao.apk

圖3apk程序已經(jīng)下架

4.查詢(xún)IP地址

當(dāng)我們接收到信息后，***時(shí)間不是去打開(kāi)或者執(zhí)行，而是去問(wèn)問(wèn)度娘(http://www.baidu.com)，如果有問(wèn)題會(huì)有人將信息公布到網(wǎng)上，如圖4所示經(jīng)過(guò)查詢(xún)，獲知該IP地址為美國(guó)，也就是說(shuō)服務(wù)器托管在美國(guó)，為中小學(xué)生服務(wù)的體檢和分班服務(wù)器竟然托管到美國(guó)?據(jù)我所知，學(xué)校大多使用校園網(wǎng)或者是教育網(wǎng)!可疑!高度可疑!

圖4服務(wù)托管在美國(guó)

5.下載程序

使用瀏覽器對(duì)apk程序進(jìn)行下載，如圖5所示，可以看到該程序僅僅561k，程序下載到本地后360完全衛(wèi)士就立刻報(bào)警，顯示該手機(jī)文件存在惡意行為，直接進(jìn)行隔離，如圖6所示。至此可以肯定該短信存在問(wèn)題，極有可能為短線(xiàn)欺詐，通過(guò)發(fā)送短信，用戶(hù)下載apk后，手機(jī)被完全控制，也即常聽(tīng)說(shuō)的手機(jī)木馬。

圖5下載并獲取程序

圖6 360查殺apk程序

(二)對(duì)APK進(jìn)行反編譯并追蹤

1.反編譯程序

使用dex2jar-0.0.9.15 程序?qū)iliao.apk進(jìn)行反編譯，首先需要將ziliao.apk解壓到本地，從ziliao文件夾中的“classes.dex”文件復(fù)制到dex2jar-0.0.9.15文件夾下，執(zhí)行命令“dex2jar.bat classes.dex”進(jìn)行反編譯，如圖7所示，顯示編譯出錯(cuò)。

圖7反編譯失敗

技巧：

(1)可以直接將classes.dex文件拖動(dòng)到dex2jar.bat文件，程序會(huì)自動(dòng)生成classes_dex2jar.jar文件，如圖8所示。

(2)可以使用命令進(jìn)行編譯“d2j-dex2jar.bat classes.dex”。

圖8反編譯程序成功

2.使用jd-gui查看Java源代碼

使用jd-gui程序打開(kāi)“classes_dex2jar.jar”文件，對(duì)Java程序代碼進(jìn)行逐個(gè)查看?？梢栽诓藛沃惺褂?ldquo;Search”對(duì)關(guān)鍵字進(jìn)行搜索，例如搜索“Email、password、sina.com、163.com、.com、.cn”等。手機(jī)木馬其郵箱信息一般都保存在com/phone/db/a.class中，如圖9所示，成功獲取其用于接收到電子郵箱和密碼。

圖9獲取郵箱及其密碼

3.登錄郵箱并查看郵件內(nèi)容

對(duì)郵箱帳號(hào)“a13145771966@sina.com”使用密碼“ qwe123”進(jìn)行登錄，如圖10所示，其中有14封郵件，其郵件主要是接收種馬手機(jī)的通訊錄和短信。

圖10上傳通訊錄

4.APK程序上傳通訊錄

在圖10中可以看到該APK程序會(huì)將受害者手機(jī)上面的所有通訊錄全部上傳，這下就明白了，匿名者發(fā)送短信是怎么獲取家長(zhǎng)真實(shí)姓名。

5.APK上傳所有短信內(nèi)容

單擊一條郵件信息，該郵件標(biāo)題為“全部短信(68510027902492)，在發(fā)件這中會(huì)顯示發(fā)件人為“a13145771966”，其郵箱a13145771966@sina.com就是apk中指定的郵箱地址，如圖11所示，安裝了該apk程序的用戶(hù)會(huì)自動(dòng)將其手機(jī)中的全部短信發(fā)送到a13145771966@sina.com，控制手機(jī)后，可以直接進(jìn)行銀行轉(zhuǎn)賬，如圖12所示，詐騙者可實(shí)施銀行轉(zhuǎn)賬!

圖11發(fā)送全部短信

圖12實(shí)施銀行轉(zhuǎn)賬

(三)手機(jī)APK安全防范

手機(jī)APK程序其實(shí)就跟以前的Windows程序類(lèi)似，手機(jī)木馬就跟Windows木馬程序類(lèi)似，下面是一些可供參考的防范方法：

1.涉及敏感信息手機(jī)獨(dú)立使用

很多朋友都喜歡玩游戲，對(duì)于使用各種寶寶(支付寶)的手機(jī)，使用該手機(jī)進(jìn)行支付，綁定銀行卡的手機(jī)要分開(kāi)，保證交易手機(jī)的絕對(duì)安全，不安裝來(lái)歷不明的apk程序，***就不安裝其它apk程序。游戲手機(jī)就單獨(dú)玩游戲，很多黑產(chǎn)已經(jīng)盯上正規(guī)apk程序，比如修改或者綁定手機(jī)木馬到正常apk程序中。

2.在現(xiàn)實(shí)中仔細(xì)核對(duì)信息

這條特別重要，不管收到什么信息，不要著急，不要立刻就按照短信提示的內(nèi)容進(jìn)行操作，而是冷靜下來(lái)通過(guò)現(xiàn)實(shí)手段進(jìn)行核實(shí)和排除，例如到公安局派出所咨詢(xún)，通過(guò)座機(jī)對(duì)來(lái)電進(jìn)行識(shí)別，通過(guò)其它現(xiàn)實(shí)信息跟家人進(jìn)行核對(duì)和求助，確保是家人或者學(xué)校發(fā)送的。還有一個(gè)杜絕公檢法詐騙的核心：公檢法要抓你，怎么還會(huì)通知您進(jìn)行資產(chǎn)公證，資金轉(zhuǎn)移!公檢法抓捕前都告訴您了，還抓捕誰(shuí)啊!現(xiàn)在信息這么發(fā)達(dá)，微信群擴(kuò)散驗(yàn)證求助也是可行的。

3.通過(guò)技術(shù)手段進(jìn)行核實(shí)

在本案例中，有很多可疑的地方，短鏈接地址可以通過(guò)互聯(lián)網(wǎng)通過(guò)百度等搜索引擎進(jìn)行查詢(xún)。通過(guò)ping www.somesite.com獲取網(wǎng)站真實(shí)IP，有些騙子給的地址就是數(shù)字IP。查詢(xún)IP所在地點(diǎn)也能排除欺詐。

4.使用計(jì)算機(jī)下載APK程序并查殺

通過(guò)計(jì)算機(jī)下載APK程序，在計(jì)算機(jī)上安裝殺毒軟件，一般殺毒軟件都能識(shí)別該APK是否惡意程序，還有就是apk程序大小，木馬程序apk一般小于2M，通常幾十K到幾百K大小居多。

本次手機(jī)apk技術(shù)反編譯總結(jié)：

需要下載安裝Java Se Runtime Environment，可以通過(guò)360軟件管家搜索java并安裝相應(yīng)版本即可。

(1)解壓手機(jī)木馬程序到本地，獲取其classes.dex文件。

(2)將classes.dex文件復(fù)制到dex2jar-0.0.9.15文件夾下

(3)使用dex2jar.bat classes.dex以及d2j-dex2jar.bat classes.dex進(jìn)行反編譯。也可以直接將classes.dex拖到dex2jar.bat文件進(jìn)行自動(dòng)編譯。

(4)使用jd-gui1.4.0打開(kāi)dex2jar-0.0.9.15文件夾下反編譯后的程序classes-dex2jar2.jar

(5)在程序的com/phone/db/a.class位置會(huì)發(fā)現(xiàn)郵箱帳號(hào)和密碼。

工具軟件及木馬樣本程序打包下載地址：http://pan.baidu.com/s/1gdVUHWn 密碼：1lzz

本站提供的工具軟件等內(nèi)容，僅供研究學(xué)習(xí)使用!