渗透攻击实例利用手机短信进行的入侵

　　木马利用短信感觉受害者通信录中好友。利用看你做的好事，看你做的龌龊事等语句诱导用户安装。
　　开始分析木马，首先查看其Manifest文件。从其申请短信联系联网的权限来看已经可以基本确认这是一款短信拦截马，貌似没啥新意不过可以从中发现一些以前没有的细节。感觉这个木马还是挺用心的。
　　首先是installLocation属性的设置。android：installLocationinternalOnly
　　设置这个属性的目的是不让木马app被安装到sdcard中。因为如果app被安装sdcard中而非手机内置存储的话会失去以下特性导致木马的功能不健全系统会在加载外部存储介质之前发送ACTIONBOOTCOMPLETED广播，所以程序将不能接受开机广播（无法开机启动）DeviceAdminReceiver失效（无法激活设备管理器防止卸载）Service无法正常工作，会被kill且无法restart（无法在后台持续运行）AlarmService闹钟服务将被取消（减少一个入口点）
　　第二个有意思的点excludeFromRecents是在activity标签中设置的。android：excludeFromRecentsfalse
　　这样设置的目的是不让木马app现在在最近程序列表中减少被普通用户发现的概率。类似处理还有将此Activity在代码中disable
　　第三个特点是随机字符串包名packagetjkxyfmjhvdg。oprbrvvgeevv。uxqjjuqxympd
　　要抓取几个样本后发现，包名是随机的字符串，但是代码特助以及签名都是一样的。应该是通过程序自动生成的，猜测目的是躲避一些杀软。
　　继续观察程序入口点：1。主Activity，用户点一次后将会被禁用intentfiltercategoryandroid：nameandroid。intent。category。LAUNCHERintentfilteractivity
　　功能老几样：禁用MainActivity组件隐藏图标激活设备管理器，防止卸载短信通信木马使用者肉鸡已经上线。异步邮件发送受害者通信录以及短信记录启动后台服务实时监控短信
　　sevice的主要功能是动态注册短信广播接收器和观察这被destory后自动启动判断木马是否过期。（这点显然可以看出，使用木马的人是从它处购买的木马，还有有效期的）
　　其他入口点：2。开机广播3。网络切换广播4。短信相关广播，总计4处可以触发拦截马行为。receiverandroid：namecom。phone。stop。receiver。BootReceiverintentfilterandroid：priority2147483647intentfilterreceiver
　　短信广播接收器和观察者的代码就不贴了，发出的邮件是这样的：
　　那么这个木马是肿么存储邮箱帐号木马的了，发现这些个短信马都喜欢用163。
　　这款木马选择对邮箱帐号密码使用des加密。破解这个也很简单现在有三个途径：根据密钥使用DES脚本解密hookAPI方法javax。mail。Serviceconnect（java。lang。Stringhost，intport，java。lang。Stringuser，java。lang。Stringpassword）查看程序私有目录下配置文件
　　大概两天不到的时间已经有上千受害者中招，部分数据如下：
　　通信录
　　短信记录
　　总结木马功能：短信指令控制通过SMTP协议邮件发送受害者通信录以及短信记录通过短信广播接收器和观察者实时监控短信
　　在这些用SMTP上传受害者信息的短信木马中，有些木马作者比较low就直接硬编码在java代码中，有些会选择像上述的加密，也有往底层迁移
　　木马传播途径：
　　1。伪基站钓鱼定向群发
　　2。受害者感染通信录好友
　　木马使用者手机号码：
　　15168430384hr13894651855hr13660414800hr13430222795hr已验证为黑卡，未实名认证。
　　传播站点：
　　118。193。170。149：2100
　　118。193。157。132：1123
　　http：www。shunlilao。comhylxiangni。apk
　　http：wusha66。neterw2fs。apk
　　主要来自香港的VPS。