大家都知道,詐騙短信的鏈接不要點(diǎn),里面很可能隱藏著木馬APP,那么這些惡意APP是如何獲取你的信息的呢?有大神就成功破解了一款,而且還獲得了木馬制作者的郵箱和密碼。不過(guò)對(duì)方在代碼中留了一手,大神當(dāng)時(shí)就笑噴了。事情的經(jīng)過(guò)是這樣的:有網(wǎng)友收到短信:剛收到一會(huì)兒,開(kāi)頭是我名字,全名,張志珍不知道是誰(shuí)不認(rèn)識(shí)。
查了一下手機(jī)號(hào)是網(wǎng)絡(luò)電信運(yùn)營(yíng)號(hào)碼,四川的,求大神瞧瞧這是啥。
然后一位知乎大神開(kāi)始了破解之旅:
我在虛擬機(jī)上面下載并安裝了這個(gè)應(yīng)用程序。看看,權(quán)限很多啊。(下面還有很多個(gè)權(quán)限)
點(diǎn)擊之后,直接請(qǐng)求 Device Admin 權(quán)限:這意味著在你啟用后,就不能輕易卸載了。
你覺(jué)得我做到這里就完了?圖樣,我還把它給反編譯了。
程序使用了混淆,并不是很容易讀源碼,不過(guò)我還是用了一兩個(gè)小時(shí)把代碼最核心的部分梳理得差不多。
最主要的幾個(gè)類被我找到。這是一個(gè)通過(guò)發(fā)送郵件傳遞隱私信息的木馬,因此,應(yīng)用里面肯定會(huì)有嫌疑人的聯(lián)系方式。
果不其然,在 PreferencesWrapper (我后期命名)類中,我找到了這個(gè):
實(shí)際對(duì)應(yīng)的用戶名密碼數(shù)據(jù)是:
一看就是加密過(guò)的。不過(guò)這并沒(méi)有難倒我,在 DESEncipher 中,我找到了加密相關(guān)的代碼。
DES 加密的話,一定會(huì)有密鑰,他們使用的 Key 就在:
這里,但是當(dāng)我去用這個(gè)作為密鑰的時(shí)候卻失敗了。
啊哈!原來(lái)初始化密鑰的部分在這里:
當(dāng)我把最后的密鑰輸入解密之后:
本來(lái)我只是好奇,就是想研究一下這個(gè)人想怎么干:結(jié)果……
“艸你媽破解我的碼子”
第一次反編譯病毒并且把嫌疑人聯(lián)系方式找到,好激動(dòng)!
總之!提醒網(wǎng)友們安裝應(yīng)用程序前要三思!盡量不要安裝來(lái)自不明網(wǎng)頁(yè)的應(yīng)用程序哦!
我剛才試了一下用郵件客戶端直接登錄,看到了觸目驚心的內(nèi)容。
你所有的短信、聯(lián)系人,在中了這個(gè)木馬之后,會(huì)被全部發(fā)送到這個(gè)郵箱,如果通過(guò)社工方式獲得了你的支付寶密碼,再通過(guò)這個(gè)方法獲取驗(yàn)證碼,嗯哼,自己想。
京公網(wǎng)安備 11010502049343號(hào)