V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ToughGuy
V2EX  ›  Android

发现一个盗取通讯录的 Android 恶意软件

  •  
  •   ToughGuy · 2016-03-11 17:27:42 +08:00 · 15305 次点击
    这是一个创建于 3161 天前的主题,其中的信息可能已经有所发展或是发生改变。

    下午刷朋友圈发现有好友 po 图曝光一条冒充班主任散布恶意软件的短信. 内容为:

    "XXX(当然知道你真名啦) 家长您好: 这是您孩子近期在校被校园办处理情况 guo.kr/g5opBR 请家长多重视孩子的心态辅导!班主任!"

    通过 curl 发现短链接被跳转到了:http://www.xyfff1681.top/man/%E6%A0%A1%E8%AE%AF%E9%80%9A.apk, 是一个 APK 文件。
    下载下来通过反编译查看代码发现是一个盗取通讯录的恶意软件。 继续通过源码获取到邮箱地址以及密码, 登陆上去发现已经有很多人中招了。

    http://mail.21cn.com/
    用户名: [email protected]
    密码: aa123456

    有没有更牛的人来治治他~

    28 条回复    2016-03-18 01:13:26 +08:00
    honeycomb
        1
    honeycomb  
       2016-03-11 17:29:36 +08:00
    wangxiwei18
        2
    wangxiwei18  
       2016-03-11 17:46:48 +08:00
    15989545795 这是他的手机号吗?
    ToughGuy
        3
    ToughGuy  
    OP
       2016-03-11 17:53:12 +08:00
    @wangxiwei18
    我猜是的。
    刚查了域名 whois 里面也没什么信息。
    liujiantao
        4
    liujiantao  
       2016-03-11 18:05:16 +08:00
    这样玩
    k8YUqnp8A77D
    cstj0505
        5
    cstj0505  
       2016-03-11 18:16:29 +08:00
    对安卓来说,国内几乎所有 app 都会申请通讯录权限吧,不明白大家都正大光明干的事情为啥要盗取。

    费安卓开发人员,不懂求教
    aliuwr
        6
    aliuwr  
       2016-03-11 18:20:55 +08:00
    @liujiantao 你大意了,修改密码没用的,邮件开了自动转发到 [email protected]
    liujiantao
        7
    liujiantao  
       2016-03-11 18:22:41 +08:00
    @aliuwr 这是改密码之前我加上去的(我的),没事...23333
    aliuwr
        8
    aliuwr  
       2016-03-11 18:24:15 +08:00
    @liujiantao _(:3 」∠)_
    liujiantao
        9
    liujiantao  
       2016-03-11 18:26:38 +08:00
    @cstj0505 分析了一下整个收件箱,看来能干的事情很多
    现在看来公布密码不好,被人删了所有邮件
    bkmi
        10
    bkmi  
       2016-03-11 18:27:45 +08:00
    这分明是诈骗份子再找肉鸡啊,除了通讯录肯定还拦截短信了
    LeoDev
        11
    LeoDev  
       2016-03-11 18:43:37 +08:00
    有点意思
    dphdjy
        13
    dphdjy  
       2016-03-11 19:00:38 +08:00 via Android
    原来就是楼上~2333
    typcn
        14
    typcn  
       2016-03-11 19:01:22 +08:00
    经过大数据定位
    此人住在广西壮族自治区南宁市宾阳县临浦街明月茶楼附近的小区

    只能帮到这里 :)
    liujiantao
        15
    liujiantao  
       2016-03-11 19:06:08 +08:00
    @dphdjy 造孽啊...我是想着他再干坏事我存一份,就转发了,你们来搞我了
    typcn
        16
    typcn  
       2016-03-11 19:06:56 +08:00
    如果有 4 段独立 IP (非内网)和精确到分钟的登录时间,还有办法搞到宽带装机地址
    Williamp
        17
    Williamp  
       2016-03-11 19:12:57 +08:00
    Be very careful guys for android malware because nowadays android malware are spreading very fast. You should take help of basic tips like http://www.pcworld.com/article/221213/keep_android_phone_free_of_malware.html to make your android phone safe from malware.
    dphdjy
        18
    dphdjy  
       2016-03-11 19:22:38 +08:00 via Android
    @liujiantao 只是个意外~意外~
    robin001
        19
    robin001  
       2016-03-11 19:44:03 +08:00 via iPhone
    @typcn 这地方很有名啊!
    SrvenX
        20
    SrvenX  
       2016-03-11 21:44:45 +08:00
    狂暴狂暴 w
    所以我选择禁用所有 APP 莫名其妙的权限_(:зゝ∠)_
    ToughGuy
        21
    ToughGuy  
    OP
       2016-03-11 21:51:18 +08:00
    @typcn

    厉害啊、
    ToughGuy
        22
    ToughGuy  
    OP
       2016-03-11 21:54:55 +08:00
    @aliuwr

    没看完回复我还去 google 半天。。 23333
    ToughGuy
        23
    ToughGuy  
    OP
       2016-03-11 21:57:22 +08:00
    @typcn

    21cn 后台有记录登录 IP ,我看是广西那边登录的,不过我们只能看到 IP 的前 2 段。
    ToughGuy
        24
    ToughGuy  
    OP
       2016-03-11 22:02:38 +08:00
    @bkmi

    反编译出来的代码的确有关于发送短信的。
    sdsnyx
        25
    sdsnyx  
       2016-03-11 22:51:08 +08:00 via Android
    广西宾阳是网络诈骗的聚集区
    mianju
        26
    mianju  
       2016-03-12 07:50:33 +08:00
    k8YUqnp8A77D 这个密码已经失效了
    kzaemrio
        27
    kzaemrio  
       2016-03-13 10:30:56 +08:00
    怒赞大伙一波,看见这帖子还挺暖心的 2333
    syslykk
        28
    syslykk  
       2016-03-18 01:13:26 +08:00
    @typcn 可否透露一下定位过程,和通过完整独立 ip 地址与精确登录时间查到宽带装机地址的方法?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1139 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 22:55 · PVG 06:55 · LAX 14:55 · JFK 17:55
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.