社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
  • 4166阅读
  • 2回复

[分享]揭秘电信诈骗之悄无声息的转走资金(一)

楼层直达
z3960 
级别: 茶馆馆主
发帖
701113
飞翔币
187925
威望
215252
飞扬币
2028131
信誉值
8

前几天朋友给了一份apk木马让我分析看看直接放到dex2jar里面跑一下简单信息CBRCVer:1.0(1)Package:com.sbr.chidi7.bvd1SDKVer:8TargetSDKVer:Support-Screens:small normal large发现所有变量都采用了加密然后找了一下发现了解密方法

[Java] 纯文本查看 复制代码

?[tr=none]
01
02
03
04
05
06
07
08
09
10
11
private static byte[] decode(byte[] paramArrayOfbyte, String paramString) {    try {      SecretKeySpec secretKeySpec = new SecretKeySpec(paramString.getBytes(), "AES");      Cipher cipher = Cipher.getInstance("AES");      cipher.init(2, secretKeySpec);      return cipher.doFinal(paramArrayOfbyte);    } catch (Exception exception) {      exception.printStackTrace();      return null;    }  }发现是ase加密 需要找一下解密密钥globalPass往上翻了翻找到了又发现密钥使用了encodeToMD516加密

[Java] 纯文本查看 复制代码

?[tr=none]
1
2
3
private static String encodePass(String paramString) {    return encodeToMD516(paramString).toLowerCase();  }往下查找encodeToMD51

[Java] 纯文本查看 复制代码

?[tr=none]
1
2
3
public static String encodeToMD516(String paramString) {    return encodeToMD5(paramString).substring(8, 24);  }发现密钥是md5加密取8到24位16字符b768e64a0bb611cf他的解密过程就是ScKit-311005e8a0ecf5f58652705a6816d825d1d0c2094d678ea7f476850d379475b8f2c69841aaa8ce2d7085ab17f7613b79取红色区域然后使用ase-ecb解密加密的变量太多,一个一个跑太慢 ,直接上fd抓包发现了两条通信网址1.浏览器访问是一个钓鱼界面2.每秒都在请求浏览器访问报错

[Java] 纯文本查看 复制代码

?[tr=none]
01
02
03
04
05
06
07
08
09
10
org.springframework.web.util.NestedServletException: Request processing failed; nested exception is java.lang.NullPointerException        org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:973)        org.springframework.web.servlet.FrameworkServlet.doGet(FrameworkServlet.java:852)        javax.servlet.http.HttpServlet.service(HttpServlet.java:624)        org.springframework.web.servlet.FrameworkServlet.service(FrameworkServlet.java:837)        javax.servlet.http.HttpServlet.service(HttpServlet.java:731)        org.apache.tomcat.websocket.server.WsFilter.doFilter(WsFilter.java:52)        org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:88)        org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)root cause然后我又跑回去解密变量看看有啥发现,一点有用的信息都没有,唯一的一点发现里面信息提示都是繁体字至此app分析到此,没有任何头绪,然后换了思路搜索一下/WebMobileD1/phoneajax/index.do url找到了https://www.52pojie.cn/thread-1160084-1-1.html这个帖子看了一下 发现跟我这个木马是一个家族只不过更新了一下混淆+加密变量我就不在重复一遍这个木马的危害性了。然后有了服务器ip地址该做什么了?当然搞他了。那就是下篇文章的内容了发送点彩蛋从后台来看远比帖子分析的更严重,他会替换你通信录联系方式
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
级别: 超级版主
发帖
758499
飞翔币
194152
威望
224183
飞扬币
2028426
信誉值
0

只看该作者 1 发表于: 2022-12-04
来看一下
级别: 超级版主
发帖
758499
飞翔币
194152
威望
224183
飞扬币
2028426
信誉值
0

只看该作者 2 发表于: 2022-12-04
不错,了解了