Android 木马逆向反破解获取骗子收信邮箱

1472807073997

 骗子不知道哪里买来的个人信息,然后通过伪基站伪造手机号码,进行诈骗。

-1472806102444

下载APP

点击这个电子请帖,会下载个APP

1472806445672

正常下载安装,打开APP会显示一张请帖图片。

1472806529238

其实在打开这个app的时候,木马已经执行了,会立刻向收信邮箱发送机主的手机通讯录,和手机短信。

反编译

把APK 改成 .zip 格式,解压获取classes.dex
通过工具 dex2jar 进行反编译
(具体工具使用方法,自行百度)

1472807073997

Alt text然后工具会生成 classes-dex2jar.jar 文件,反编译成功,就可以通过jd-gui来进行查看APK的源代码。

Alt text1472807273734

分析

先说下andorid 获取本地资源的URL

通用资源标志符(Universal Resource Identifier, 简称”URI”)。
Uri代表要操作的数据,Android上可用的每种资源 - 图像、视频片段等都可以用Uri来表示。
URI一般由三部分组成:

  1. 访问资源的命名机制。
  2. 存放资源的主机名。
  3. 资源自身的名称,由路径表示。

Android的Uri由以下三部分组成: “content://”、数据的路径、标示ID(可选)
举些例子,如:

  1. 所有联系人的Uri: content://contacts/people
  2. 某个联系人的Uri: content://contacts/people/5
  3.  所有短信的Uri: content://sms
  4.  所有图片Uri: content://media/external
  5.  某个图片的Uri:content://media/external/images/media/4

Alt text1472807422603
发现当前位置进行查询短信数据库,然后进行格式化发到收信邮箱。

2472807733921Alt text
此段代码,进行了获取当前手机型号,手机号和系统版本。

Alt text3472807832094
防止用户删除APP

4472808148756Alt text
经过各种Debug 发现收信邮箱地址

后记

登录后发现很多上当的机主。包括银行卡余额,花销等各种短信。

评论 (1)
  1. 头像
    沙发
    Nikki 2017-01-04 05:59

    Voilà un sandwich, comme le disait Kim, fort populaire au Québec! C'est probablement une influence de la cuisine anglaise qui occupe une grande place au Québec, surtout dans la région de MotBoéal!nises,Lru