手机木马的骚操作

发布时间:2020年12月20日 阅读:40 次

昨天晚上闲着无聊瞎逛就下载了一个APP,安装以后发现不太对劲,本着不撞南墙不回头的精神就给逆向编译了,使用的工具是《安卓修改大师》当然收费的,接下来就不要眨眼了各种骚操作绝对能惊讶到你。


首先我们在安装APP的时候它会提示需要的各种权限,在这里我就发现不对劲了,先是提示需要开启开机启动项的授权,仅接着就提示需要获得GPRS的权限,接着就是通讯录的权限,最后就是短信内容的操作权限,

当我卸载了原有的木马应用文件以后我才会想起来不太对劲,按理说正常的APP不可能需要你的通讯录与短信操作权限才对,而且也没有个人隐私声明条例,然后我们通过《安卓修改大师》对该APP进行了逆向编译,然后发现了一个特别的全局变量,变量名为 var apiserver ='一堆乱码';问题就出在这串代码里面,本着好奇的心,去百度一通骚操作的解密,你们猜怎么了,还真被我给解密出来了。

这个APP呢采用的是H5打包成APP,使用 HBuilder X 以及一些云打包的API均可进行打包。


这里的大牛使用的是 https://www.sojson.com/charEncode.html  对H5的JS进行了加密。


然后分析了一下该APP以后发现了更流弊的骚操作,只要你安装以后并且运行了它一次以后,这个APP就仅仅是剩下一个壳文件了,实际功能的APP已经被注入到了手机的内存中,并且伪装成系统的开机启动项,从而实现了开机启动,对于什么都不懂的人来说,除非你刷机,否则重启,杀毒均为无效。


要说扫的话,接下来更骚,这个让我比较佩服的是,它不单单兼容安卓,连苹果也无一幸免。

苹果的话先是对你进行欺骗让你给它赋予相应的权限,然后就删除快捷方式隐藏在手机中,这里与安卓的功能极为相似都是伪装开机启动项,从而达到长期潜伏的效果。


功能的话,大致分为三个,实时定位追踪,通讯录同步上传、删除,短信内容同步上传、删除。


当然这个木马的源文件以及后端同时也被我拿到手了,云端用的是 thinkphp5 的框架写的,而且还存在一键EXP,呃,其实我当时也是抱着试试的心态,没想到进去以后发现了更骚的操作,居然整站包含APP源代码全部打包好了,放在 uploads 这个目录下,然后呢通过Mysql 数据的 app_admin 这个表找到了管理账号以及密码,通过 查哈希 对数据库里面的MD5进行解密后得到密码,进入后台以后,我彻底傻眼了,接下来看图,包含了APP部分源码。


这里在截图里面把域名给隐藏了,是不敢乱搞,因为涉及到个人隐私,太恐怖了。 后台不少的人中招呢。

微信图片_20201220052956.png 手机木马的骚操作  木马 移动安全 查哈希 MD5解密 第1张

安卓获取通讯录权限判断是否正常。

微信图片_20201220052951.png 手机木马的骚操作  木马 移动安全 查哈希 MD5解密 第2张

判断IOS权限是否赋予,如果没有权限就弹出提示框,诱导使用人开启权限。

微信图片_20201220052946.png 手机木马的骚操作  木马 移动安全 查哈希 MD5解密 第3张

接下来是是是定位,调用的是百度地图。

微信图片_20201220052910.png 手机木马的骚操作  木马 移动安全 查哈希 MD5解密 第4张

这里是设备管理。

微信图片_20201220052928.png 手机木马的骚操作  木马 移动安全 查哈希 MD5解密 第5张

通讯录管理

微信图片_20201220052933.png 手机木马的骚操作  木马 移动安全 查哈希 MD5解密 第6张

短信内容管理。

微信图片_20201220052937.png 手机木马的骚操作  木马 移动安全 查哈希 MD5解密 第7张


我的妈呀,进去看到以后,我特么手都下的一哆嗦,估计应该是团伙作案,而且最风骚的是,这个系统居然还有代理,还能一键生成移动设备的被控端,小弟是真的服了,大写的服,以上截图是是截取了 一部分,里面的数据量不是一般的吓人,好了,就说这么多了,至于说想要源码的,不好意思,已经删了,域名呢也已经丢到 对应的部门去处理了,这些可不是咱们能管理的,做个遵纪守法的好公民,从你我做起!

专注信息安全,不要随便下载不知名的应用,防止个人隐私泄露,祝 大家 2021年快乐!





Tag:木马 移动安全 查哈希 MD5解密
相关文章

发表评论: