发现一个盗取通讯录的 Android 恶意软件

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 3532 天前的主题，其中的信息可能已经有所发展或是发生改变。

下午刷朋友圈发现有好友 po 图曝光一条冒充班主任散布恶意软件的短信. 内容为:

"XXX(当然知道你真名啦) 家长您好：这是您孩子近期在校被校园办处理情况 guo.kr/g5opBR 请家长多重视孩子的心态辅导！班主任！"

通过 curl 发现短链接被跳转到了:http://www.xyfff1681.top/man/%E6%A0%A1%E8%AE%AF%E9%80%9A.apk, 是一个 APK 文件。
下载下来通过反编译查看代码发现是一个盗取通讯录的恶意软件。继续通过源码获取到邮箱地址以及密码，登陆上去发现已经有很多人中招了。

http://mail.21cn.com/
用户名: [email protected]
密码: aa123456

有没有更牛的人来治治他～

盗取

班主任

恶意

28 条回复 2016-03-18 01:13:26 +08:00

honeycomb

2016-03-11 17:29:36 +08:00

@typcn

wangxiwei18

2016-03-11 17:46:48 +08:00

15989545795 这是他的手机号吗？

ToughGuy

2016-03-11 17:53:12 +08:00

@wangxiwei18
我猜是的。
刚查了域名 whois 里面也没什么信息。

liujiantao

2016-03-11 18:05:16 +08:00

这样玩

k8YUqnp8A77D

cstj0505

2016-03-11 18:16:29 +08:00

对安卓来说，国内几乎所有 app 都会申请通讯录权限吧，不明白大家都正大光明干的事情为啥要盗取。

费安卓开发人员，不懂求教

aliuwr

2016-03-11 18:20:55 +08:00

@liujiantao 你大意了，修改密码没用的，邮件开了自动转发到 [email protected] 。

liujiantao

2016-03-11 18:22:41 +08:00

@aliuwr 这是改密码之前我加上去的（我的），没事...23333

aliuwr

2016-03-11 18:24:15 +08:00

@liujiantao _(:3 」∠)_

liujiantao

2016-03-11 18:26:38 +08:00

@cstj0505 分析了一下整个收件箱，看来能干的事情很多

现在看来公布密码不好，被人删了所有邮件

bkmi

2016-03-11 18:27:45 +08:00

这分明是诈骗份子再找肉鸡啊，除了通讯录肯定还拦截短信了

LeoDev

2016-03-11 18:43:37 +08:00

有点意思

dphdjy

2016-03-11 18:59:38 +08:00 via Android

有个 v 友和他邮箱蛮像的~

https://www.google.com.hk/search?newwindow=1&safe=strict&ei=-qTiVsSwD46RuQS58q7wBg&q=mail-315delete&oq=mail-315delete&gs_l=mobile-gws-serp.3..41j30i10.8891.11528.0.11693.12.8.1.0.0.0.522.3884.4-7j1.8.0....0...1c.1j4.64.mobile-gws-serp..10.2.500.GSLhgtgYqjo

dphdjy

2016-03-11 19:00:38 +08:00 via Android

原来就是楼上~2333

typcn

2016-03-11 19:01:22 +08:00

经过大数据定位
此人住在广西壮族自治区南宁市宾阳县临浦街明月茶楼附近的小区

只能帮到这里 :)

liujiantao

2016-03-11 19:06:08 +08:00

@dphdjy 造孽啊...我是想着他再干坏事我存一份，就转发了，你们来搞我了

typcn

2016-03-11 19:06:56 +08:00

如果有 4 段独立 IP （非内网）和精确到分钟的登录时间，还有办法搞到宽带装机地址

Williamp

2016-03-11 19:12:57 +08:00

Be very careful guys for android malware because nowadays android malware are spreading very fast. You should take help of basic tips like http://www.pcworld.com/article/221213/keep_android_phone_free_of_malware.html to make your android phone safe from malware.

dphdjy

2016-03-11 19:22:38 +08:00 via Android

@liujiantao 只是个意外~意外~

robin001

2016-03-11 19:44:03 +08:00 via iPhone

@typcn 这地方很有名啊！

SrvenX

2016-03-11 21:44:45 +08:00

狂暴狂暴 w
所以我选择禁用所有 APP 莫名其妙的权限_(:з∠)_

ToughGuy

2016-03-11 21:51:18 +08:00

@typcn

厉害啊、

ToughGuy

2016-03-11 21:54:55 +08:00

@aliuwr

没看完回复我还去 google 半天。。 23333

ToughGuy

2016-03-11 21:57:22 +08:00

@typcn

21cn 后台有记录登录 IP ，我看是广西那边登录的，不过我们只能看到 IP 的前 2 段。

ToughGuy

2016-03-11 22:02:38 +08:00

@bkmi

反编译出来的代码的确有关于发送短信的。

sdsnyx

2016-03-11 22:51:08 +08:00 via Android

广西宾阳是网络诈骗的聚集区

mianju

2016-03-12 07:50:33 +08:00

k8YUqnp8A77D 这个密码已经失效了

kzaemrio

2016-03-13 10:30:56 +08:00

怒赞大伙一波，看见这帖子还挺暖心的 2333

syslykk

2016-03-18 01:13:26 +08:00

@typcn 可否透露一下定位过程，和通过完整独立 ip 地址与精确登录时间查到宽带装机地址的方法？