今年的3.15晚會異常精彩，網(wǎng)絡安全不再離我們那么遙遠，智能硬件漏洞、淘寶刷單等已經開始影響我們的生活。如果您不懂網(wǎng)絡安全專業(yè)知識，沒有關系，但必須得有安全意識和安全常識。經常聽到周圍很多朋友的朋友被騙**萬，什么手機短信詐騙，什么冒充公檢法欺詐，什么冒充家長轉賬!其實這些并沒有那么神秘，在收到這些信息后，冷靜下來仔細思考，認真核對，就會發(fā)現(xiàn)原來就是欺騙，避免上當，下面以一個實際的例子來揭露手機APK短信欺騙。

[[163951]]

(一)對手機短信進行分析

1.分析短息內容

昨日，在微信朋友群中，朋友發(fā)了一張截圖，如圖1所示，短息內容很蹊蹺“某某家長您好!這是貴子女新學期的體檢報告和分班情況t.cn/RGHX9ml請您及時激活查看[和教育]”。對該短息分析：

(1)在該短息中明確獲取了家長的真實姓名，應該是獲取了通訊錄。

(2)短信是匿名發(fā)送，非好友或者學校老師。

(3)短信內容明顯跟學校正常短息內容有所異常，目前很多學校有通知都是通過微信群，使用短息發(fā)送消息較少。

(4)短信中涉及短地址，學校一般不會發(fā)送短地址。

圖1奇怪短信

2.還原鏈接地址

通過百度搜索到一個還原短地址的網(wǎng)站，如圖2所示，在其中輸入短線中提及的鏈接地址“t.cn/RGHX9m1”還原為真實地址為：

http://link.zhihu.com/?target=http%3A//172.246.236.186:8080/3446/ziliaoRV.apk

再次變換一下為：

http://link.zhihu.com/?target=http://172.246.236.186:8080/3446/ziliaoRV.apk

其真實目的是去下載“http://172.246.236.186:8080/3446/ziliaoRV.apk”。也可以直接訪問該短鏈接地址，訪問后會自動跳轉到目的網(wǎng)站并進行下載，使用手機訪問會自動下載apk程序并進行安裝。

注意：千萬不要安裝!千萬不要安裝!千萬不要安裝!重要的事情說三遍!

圖2還原其短地址為真實地址

3.獲取apk程序

在瀏覽器中輸入剛才獲取的地址(http://172.246.236.186:8080/3446/ziliaoRV.apk)進行下載，如圖3所示，顯示該文件已經被移除了，通過其文件名稱可以判斷出該程序有多個版本，目的是為了啥，大家可以猜測一下，除了病毒沒有啥程序會這樣。后面通過猜測和掃描獲取了2套apk程序。http://172.246.236.186:8080/0983/ziliao.apk和http://172.246.236.186:8080/1966/ziliao.apk

圖3apk程序已經下架

4.查詢IP地址

當我們接收到信息后，***時間不是去打開或者執(zhí)行，而是去問問度娘(http://www.baidu.com)，如果有問題會有人將信息公布到網(wǎng)上，如圖4所示經過查詢，獲知該IP地址為美國，也就是說服務器托管在美國，為中小學生服務的體檢和分班服務器竟然托管到美國?據(jù)我所知，學校大多使用校園網(wǎng)或者是教育網(wǎng)!可疑!高度可疑!

圖4服務托管在美國

5.下載程序

使用瀏覽器對apk程序進行下載，如圖5所示，可以看到該程序僅僅561k，程序下載到本地后360完全衛(wèi)士就立刻報警，顯示該手機文件存在惡意行為，直接進行隔離，如圖6所示。至此可以肯定該短信存在問題，極有可能為短線欺詐，通過發(fā)送短信，用戶下載apk后，手機被完全控制，也即常聽說的手機木馬。

圖5下載并獲取程序

圖6 360查殺apk程序

(二)對APK進行反編譯并追蹤

1.反編譯程序

使用dex2jar-0.0.9.15 程序對ziliao.apk進行反編譯，首先需要將ziliao.apk解壓到本地，從ziliao文件夾中的“classes.dex”文件復制到dex2jar-0.0.9.15文件夾下，執(zhí)行命令“dex2jar.bat classes.dex”進行反編譯，如圖7所示，顯示編譯出錯。

圖7反編譯失敗

技巧：

(1)可以直接將classes.dex文件拖動到dex2jar.bat文件，程序會自動生成classes_dex2jar.jar文件，如圖8所示。

(2)可以使用命令進行編譯“d2j-dex2jar.bat classes.dex”。

圖8反編譯程序成功

2.使用jd-gui查看Java源代碼

使用jd-gui程序打開“classes_dex2jar.jar”文件，對Java程序代碼進行逐個查看?？梢栽诓藛沃惺褂?ldquo;Search”對關鍵字進行搜索，例如搜索“Email、password、sina.com、163.com、.com、.cn”等。手機木馬其郵箱信息一般都保存在com/phone/db/a.class中，如圖9所示，成功獲取其用于接收到電子郵箱和密碼。

圖9獲取郵箱及其密碼

3.登錄郵箱并查看郵件內容

對郵箱帳號“a13145771966@sina.com”使用密碼“ qwe123”進行登錄，如圖10所示，其中有14封郵件，其郵件主要是接收種馬手機的通訊錄和短信。

圖10上傳通訊錄

4.APK程序上傳通訊錄

在圖10中可以看到該APK程序會將受害者手機上面的所有通訊錄全部上傳，這下就明白了，匿名者發(fā)送短信是怎么獲取家長真實姓名。

5.APK上傳所有短信內容

單擊一條郵件信息，該郵件標題為“全部短信(68510027902492)，在發(fā)件這中會顯示發(fā)件人為“a13145771966”，其郵箱a13145771966@sina.com就是apk中指定的郵箱地址，如圖11所示，安裝了該apk程序的用戶會自動將其手機中的全部短信發(fā)送到a13145771966@sina.com，控制手機后，可以直接進行銀行轉賬，如圖12所示，詐騙者可實施銀行轉賬!

圖11發(fā)送全部短信

圖12實施銀行轉賬

(三)手機APK安全防范

手機APK程序其實就跟以前的Windows程序類似，手機木馬就跟Windows木馬程序類似，下面是一些可供參考的防范方法：

1.涉及敏感信息手機獨立使用

很多朋友都喜歡玩游戲，對于使用各種寶寶(支付寶)的手機，使用該手機進行支付，綁定銀行卡的手機要分開，保證交易手機的絕對安全，不安裝來歷不明的apk程序，***就不安裝其它apk程序。游戲手機就單獨玩游戲，很多黑產已經盯上正規(guī)apk程序，比如修改或者綁定手機木馬到正常apk程序中。

2.在現(xiàn)實中仔細核對信息

這條特別重要，不管收到什么信息，不要著急，不要立刻就按照短信提示的內容進行操作，而是冷靜下來通過現(xiàn)實手段進行核實和排除，例如到公安局派出所咨詢，通過座機對來電進行識別，通過其它現(xiàn)實信息跟家人進行核對和求助，確保是家人或者學校發(fā)送的。還有一個杜絕公檢法詐騙的核心：公檢法要抓你，怎么還會通知您進行資產公證，資金轉移!公檢法抓捕前都告訴您了，還抓捕誰啊!現(xiàn)在信息這么發(fā)達，微信群擴散驗證求助也是可行的。

3.通過技術手段進行核實

在本案例中，有很多可疑的地方，短鏈接地址可以通過互聯(lián)網(wǎng)通過百度等搜索引擎進行查詢。通過ping www.somesite.com獲取網(wǎng)站真實IP，有些騙子給的地址就是數(shù)字IP。查詢IP所在地點也能排除欺詐。

4.使用計算機下載APK程序并查殺

通過計算機下載APK程序，在計算機上安裝殺毒軟件，一般殺毒軟件都能識別該APK是否惡意程序，還有就是apk程序大小，木馬程序apk一般小于2M，通常幾十K到幾百K大小居多。

本次手機apk技術反編譯總結：

需要下載安裝Java Se Runtime Environment，可以通過360軟件管家搜索java并安裝相應版本即可。

(1)解壓手機木馬程序到本地，獲取其classes.dex文件。

(2)將classes.dex文件復制到dex2jar-0.0.9.15文件夾下

(3)使用dex2jar.bat classes.dex以及d2j-dex2jar.bat classes.dex進行反編譯。也可以直接將classes.dex拖到dex2jar.bat文件進行自動編譯。

(4)使用jd-gui1.4.0打開dex2jar-0.0.9.15文件夾下反編譯后的程序classes-dex2jar2.jar

(5)在程序的com/phone/db/a.class位置會發(fā)現(xiàn)郵箱帳號和密碼。

工具軟件及木馬樣本程序打包下載地址：http://pan.baidu.com/s/1gdVUHWn 密碼：1lzz

本站提供的工具軟件等內容，僅供研究學習使用!