二月九號(hào)收到如下圖一條短信:
點(diǎn)開鏈接,發(fā)現(xiàn)時(shí)一個(gè)下載apk的連接窗轩,直覺告訴我夯秃,該軟件肯定有問題,于是下載進(jìn)行逆向分析,發(fā)現(xiàn)這是一個(gè)很常規(guī)的惡意軟件仓洼,無需ROOT介陶,直接讀取聯(lián)系人及短信,發(fā)送到遠(yuǎn)端263郵箱色建。
1哺呜、通過逆向其代碼,從中獲取接受信息的郵箱&密碼(qq159xxxx8438@263.com&akxxxsha)镀岛,注冊(cè)手機(jī)號(hào)為安徽合肥弦牡,登錄器郵箱,發(fā)現(xiàn)在十號(hào)中午12.29-12.30兩分鐘內(nèi)收到的郵件多達(dá)60封漂羊,郵件的內(nèi)容一封為聯(lián)系人信息驾锰、一封為短信信息,預(yù)計(jì)這期間至少有三十人中招走越。但是該團(tuán)伙人員警覺性極高椭豫,我登錄查看郵件后,攻擊者立刻清空所有郵件旨指,十三號(hào)已經(jīng)對(duì)郵箱密碼進(jìn)行修改赏酥,可猜想惡意軟件已經(jīng)重新發(fā)版;
2谆构、另在源碼中發(fā)現(xiàn)其注冊(cè)手機(jī)號(hào)為134xxxx6811裸扶,為廣東深圳電話;
同時(shí)對(duì)其注冊(cè)網(wǎng)址進(jìn)行分析搬素,獲得信息如下:
3呵晨、注冊(cè)手機(jī)號(hào)為河南駐馬店,注冊(cè)郵箱為QQ郵箱(286xxx776@qq.com)熬尺,對(duì)郵箱進(jìn)行追蹤摸屠,發(fā)現(xiàn)其注冊(cè)過大量惡意網(wǎng)址(http://domainbigdata.com/qq.com/mj/hDP9DDUqh7wRI2aXpAyPZA)
最后,提醒大家粱哼,注意防范季二,不要隨意打開短信&微信等鏈接。
