二月九号收到如下图一条短信:
恶意短信
点开链接,发现时一个下载apk的连接,直觉告诉我,该软件肯定有问题,于是下载进行逆向分析,发现这是一个很常规的恶意软件,无需ROOT,直接读取联系人及短信,发送到远端263邮箱。
1、通过逆向其代码,从中获取接受信息的邮箱&密码(qq159xxxx8438@263.com&akxxxsha),注册手机号为安徽合肥,登录器邮箱,发现在十号中午12.29-12.30两分钟内收到的邮件多达60封,邮件的内容一封为联系人信息、一封为短信信息,预计这期间至少有三十人中招。但是该团伙人员警觉性极高,我登录查看邮件后,攻击者立刻清空所有邮件,十三号已经对邮箱密码进行修改,可猜想恶意软件已经重新发版;
2、另在源码中发现其注册手机号为134xxxx6811,为广东深圳电话;
同时对其注册网址进行分析,获得信息如下:
DNS信息
3、注册手机号为河南驻马店,注册邮箱为QQ邮箱(286xxx776@qq.com),对邮箱进行追踪,发现其注册过大量恶意网址(http://domainbigdata.com/qq.com/mj/hDP9DDUqh7wRI2aXpAyPZA)
注册邮箱信息
注册网址列表
最后,提醒大家,注意防范,不要随意打开短信&微信等链接。
