在用戶第一次啟動(dòng)時(shí)，注冊(cè)自動(dòng)啟動(dòng)組件，BootReceiver

AndroidManifest.xml中注冊(cè)的事件

從下圖可以看到BootReceiver繼承自BroadcastReceiver

自動(dòng)啟動(dòng)組件啟動(dòng)后，會(huì)根據(jù)安卓版本啟動(dòng)對(duì)應(yīng)的MainService

所以發(fā)生以上的事件均會(huì)被觸發(fā)啟動(dòng)：短信接收、系統(tǒng)啟動(dòng)、用戶進(jìn)入home界面、kill應(yīng)用等

郵箱密碼修改功能

指令：sssxxx#1002#password  （xxx可為任意內(nèi)容，也可無(wú)）

來(lái)看asw6eih.vby.xxttth5.c這個(gè)類(lèi)

從配置文件中取出v0，然后賦值給v5

其中有這樣的一段

可以看到MailFrom_Passa是郵箱密碼，接受v1的參數(shù)，其中參數(shù)v7是固定的值2，而參數(shù)asw6eih.vby.xxttth5.a.d是初始化的值，也就是最開(kāi)始的時(shí)候看到的郵箱：

所以這一段作用是修改了當(dāng)前郵箱的密碼，并重新寫(xiě)入了配置文件。觸發(fā)這一過(guò)程，指令是定義了特定的格式的，具體如下：

需要被執(zhí)行l(wèi)abel_129這個(gè)過(guò)程，而且v1的長(zhǎng)度必須是v9的大小，v9是固定值3。

所以v1的格式應(yīng)該為xxx#xxx#password

接下來(lái)就是switch case的過(guò)程（吐槽下這個(gè)程序效率……還好可以選擇的不多）：

可以看到case 1002的時(shí)候，而v0_1是v1的下標(biāo)為1的值，現(xiàn)在的格式可以推定為(這里反編譯軟件給出的跳轉(zhuǎn)存在問(wèn)題)：

xxx#1002#password

這個(gè)時(shí)候還差第一段的內(nèi)容，我們繼續(xù)看這個(gè)類(lèi)，發(fā)現(xiàn)v1跟asw6eih.vby.xxttth5.a.b做了對(duì)比，如下圖所示：

而asw6eih.vby.xxttth5.a.b的值實(shí)際上也做了定義，如下所示：

之后v1跟上面的值做了比較，其實(shí)也就是sss，如下所示：

v1.substring(0, asw6eih.vby.xxttth5.a.b.length()).equals(asw6eih.vby.xxttth5.a.b))

截取了v1的前幾位跟預(yù)定義字符串sss做比較（這里截取了3位）

之后定義了v3的值，其實(shí)是手機(jī)號(hào)。

控制字符串的大致格式為sssxxx#指令id#內(nèi)容，由于流程內(nèi)容太多，不一一描述。xxx可為任意。這里修改郵箱密碼的指令應(yīng)該為sssxxx#1002#password

轉(zhuǎn)換控制端手機(jī)號(hào)碼

指令：sssxxx#1011#13333333333 （xxx可為任意內(nèi)容，也可無(wú)）

在下面一個(gè)字符串引起了我們的注意：

label_177，其中“轉(zhuǎn)移號(hào)碼設(shè)置成功”，進(jìn)一步分析：

label_177來(lái)自1011指令，所以指令為sss#1011#command

c.a校驗(yàn)了手機(jī)號(hào)的格式，只能是13，14，15，17，18開(kāi)頭的手機(jī)，而且都是數(shù)字的，總共11位，可以說(shuō)真是“經(jīng)驗(yàn)豐富懂安全”的“開(kāi)發(fā)人員”。

之后回復(fù)了：轉(zhuǎn)移號(hào)碼設(shè)置成功

并將該值放到了v5里面，也就是配置文件里面。

label_40是保存配置等，這里不多分析了。

所以，修改手機(jī)號(hào)碼的格式為sssxxx#1011#13333333333，發(fā)送這樣的信息就可以修改接收手機(jī)為1333333333了，注意手機(jī)號(hào)碼一定得是合法的11位手機(jī)。

短信攔截功能

電話轉(zhuǎn)接功能

我猜這個(gè)木馬的設(shè)計(jì)者一定是個(gè)處女座，問(wèn)題考慮的非常細(xì)致，這里竟然還設(shè)置了呼叫轉(zhuǎn)移功能，在受害者電話忙音的時(shí)候幫受害者接電話？

該類(lèi)繼承了BroadcastReceiver

當(dāng)被觸發(fā)時(shí)，會(huì)將電話轉(zhuǎn)移到控制端。我們知道**67*手機(jī)號(hào)碼＃這是遇忙呼叫轉(zhuǎn)移（聯(lián)通／移動(dòng)可用）， 被轉(zhuǎn)移到的號(hào)碼其實(shí)就是控制端的手機(jī)號(hào)碼。

木馬有效期

我們發(fā)現(xiàn)一個(gè)奇怪的現(xiàn)象，在向系統(tǒng)注冊(cè)這些組件的時(shí)候，木馬做了一個(gè)判讀，會(huì)判斷c.b()，然后決策是否注冊(cè)這些組件，如下所示：

上面的截圖來(lái)自MainActivity也就是程序啟動(dòng)的主界面。

跟進(jìn)這個(gè)方法發(fā)現(xiàn)是對(duì)時(shí)間的檢查：

發(fā)現(xiàn)如果當(dāng)前時(shí)間超過(guò)了設(shè)定的時(shí)間2016-10-01 14:01:00，會(huì)返回false，不再向系統(tǒng)注冊(cè)該組件，否則返回true。也就是這個(gè)時(shí)間以后再有新用戶安裝就已經(jīng)無(wú)效了。

處理和預(yù)防此類(lèi)事件：

1.安裝手機(jī)殺毒軟件定期查殺手機(jī)木馬病毒。

2.定期檢查手機(jī)的授權(quán)管理，如小米手機(jī)的安全中心-授權(quán)管理-應(yīng)用權(quán)限管理-權(quán)限管理-短信與彩信相關(guān)權(quán)限，檢查此類(lèi)敏感功能處權(quán)限授予對(duì)象是否合法。

3.不要root手機(jī)（黑客除外）。

4.不要安裝來(lái)路不明的應(yīng)用，對(duì)于小白建議只安裝手機(jī)品牌商店中的應(yīng)用（起碼安全性要高一些）。

5.購(gòu)買(mǎi)銀行卡盜刷理賠保險(xiǎn)，任何時(shí)候多一道保險(xiǎn)才多一份放心。

最新評(píng)論