大家都知道,詐騙短信的鏈接不要點(diǎn),里面很可能隱藏著木馬APP,那么這些惡意APP是如何獲取你的信息的呢?有大神就成功破解了一款,而且還獲得了木馬制作者的郵箱和密碼。不過對方在代碼中留了一手,大神當(dāng)時就笑噴了。事情的經(jīng)過是這樣的:有網(wǎng)友收到短信:剛收到一會兒,開頭是我名字,全名,張志珍不知道是誰不認(rèn)識。
查了一下手機(jī)號是網(wǎng)絡(luò)電信運(yùn)營號碼,四川的,求大神瞧瞧這是啥。
然后一位知乎大神開始了破解之旅:
我在虛擬機(jī)上面下載并安裝了這個應(yīng)用程序??纯?,權(quán)限很多啊。(下面還有很多個權(quán)限)
點(diǎn)擊之后,直接請求 Device Admin 權(quán)限:這意味著在你啟用后,就不能輕易卸載了。
你覺得我做到這里就完了?圖樣,我還把它給反編譯了。
程序使用了混淆,并不是很容易讀源碼,不過我還是用了一兩個小時把代碼最核心的部分梳理得差不多。
最主要的幾個類被我找到。這是一個通過發(fā)送郵件傳遞隱私信息的木馬,因此,應(yīng)用里面肯定會有嫌疑人的聯(lián)系方式。
果不其然,在 PreferencesWrapper (我后期命名)類中,我找到了這個:
實(shí)際對應(yīng)的用戶名密碼數(shù)據(jù)是:
一看就是加密過的。不過這并沒有難倒我,在 DESEncipher 中,我找到了加密相關(guān)的代碼。
DES 加密的話,一定會有密鑰,他們使用的 Key 就在:
這里,但是當(dāng)我去用這個作為密鑰的時候卻失敗了。
啊哈!原來初始化密鑰的部分在這里:
當(dāng)我把最后的密鑰輸入解密之后:
本來我只是好奇,就是想研究一下這個人想怎么干:結(jié)果……
“艸你媽破解我的碼子”
第一次反編譯病毒并且把嫌疑人聯(lián)系方式找到,好激動!
總之!提醒網(wǎng)友們安裝應(yīng)用程序前要三思!盡量不要安裝來自不明網(wǎng)頁的應(yīng)用程序哦!
我剛才試了一下用郵件客戶端直接登錄,看到了觸目驚心的內(nèi)容。
你所有的短信、聯(lián)系人,在中了這個木馬之后,會被全部發(fā)送到這個郵箱,如果通過社工方式獲得了你的支付寶密碼,再通過這個方法獲取驗(yàn)證碼,嗯哼,自己想。