報(bào)告名稱：仿《中華人民共和國(guó)最高人民檢察院》釣魚APP詳細(xì)分析                                                
作者：Andy
報(bào)告更新日期：2017年5月21日
樣本文件大小／被感染文件變化長(zhǎng)度：505,420 字節(jié)
樣本文件MD5 校驗(yàn)值：07689211B6FCCE45BD12259A489A4B6B
樣本文件SHA1 校驗(yàn)值：458F456BCB4F6D783233C3AC026F96E014689CB4
殼信息：NO WRAPPER
可能受到威脅的系統(tǒng)：Android
名稱：中華人民共和國(guó)最高人民檢察院
包名：com.gmapp

主要描述：樣本是一款釣魚APP，隨著電視劇人民的名義的熱播，我們的最高檢也成了熱門IP，很多不法分子就利用最高檢的熱度，制作起了相關(guān)的病毒軟件，近期發(fā)現(xiàn)的這款關(guān)于最高檢的APP是一款很常見的釣魚類APP。該病毒仿冒公檢法,啟動(dòng)后試圖窺視用戶手機(jī),并意圖竊取用戶短信,通訊錄,地理位置等隱私數(shù)據(jù),會(huì)造成用戶資金損害；病毒在啟動(dòng)后提示用戶將默認(rèn)短信應(yīng)用修改，監(jiān)聽用戶的按鍵并將返回鍵重寫失效；病毒監(jiān)聽用戶電話狀態(tài)，可能存在遠(yuǎn)程轉(zhuǎn)接，造成不必要的經(jīng)濟(jì)損失。


詳細(xì)分析：
  0x00 運(yùn)行界面
  

0x01獲取權(quán)限
android.permission.READ_PHONE_STATE， 訪問(wèn)電話狀態(tài)
android.permission.INTERNET， 訪問(wèn)網(wǎng)絡(luò)連接，可能產(chǎn)生GPRS流量
android.permission.ACCESS_COARSE_LOCATION， 通過(guò)WiFi或移動(dòng)基站的方式獲取用戶錯(cuò)略的經(jīng)緯度信息(精度30~1500米)
android.permission.ACCESS_FINE_LOCATION， 通過(guò)GPS芯片接收衛(wèi)星的定位信息(精度10米以內(nèi))
android.permission.ACCESS_NETWORK_STATE， 獲取網(wǎng)絡(luò)信息狀態(tài)，如當(dāng)前的網(wǎng)絡(luò)連接是否有效
android.permission.ACCESS_WIFI_STATE， 獲取當(dāng)前WiFi接入的狀態(tài)以及WLAN熱點(diǎn)的信息
android.permission.READ_CONTACTS， 允許應(yīng)用訪問(wèn)聯(lián)系人通訊錄信息
android.permission.SEND_SMS， 發(fā)送短信
android.permission.WAKE_LOCK， 允許程序在手機(jī)屏幕關(guān)閉后后臺(tái)進(jìn)程仍然運(yùn)行  
android.permission.INJECT_EVENTS， 允許訪問(wèn)本程序的底層事件，獲取按鍵、軌跡球的事件流


  0x02具體行為
該釣魚APP在用戶啟動(dòng)后自動(dòng)獲取用戶信息上傳，并試圖將軟件自身設(shè)置為短信應(yīng)用以方便后續(xù)直接獲取用戶短信相關(guān)信息。
將自身設(shè)置為默認(rèn)的短信應(yīng)用
 
 
獲取用戶信息
 
抓包得到上傳用戶的信息
 
 
上傳服務(wù)器地址拼接
 

釣魚APP監(jiān)聽用戶電話狀態(tài)，可能存在遠(yuǎn)程轉(zhuǎn)接，造成不必要的經(jīng)濟(jì)損失
 

釣魚APP修改返回鍵，導(dǎo)致用戶無(wú)法點(diǎn)擊返回，返回鍵失效
 

在分析的過(guò)程中還發(fā)現(xiàn)了釣魚APP的主界面
 
在主界面下方有三個(gè)按鈕可以出發(fā)
 
 
可以清楚的看到該釣魚網(wǎng)站采集用戶的信息極其的詳細(xì)，通過(guò)網(wǎng)頁(yè)形式獲取用戶基本信息，然后通過(guò)惡意APP獲取用戶實(shí)時(shí)信息并做關(guān)聯(lián)，這樣一套完善的信息體系很快就能運(yùn)轉(zhuǎn)。
看到這里是不是感嘆這些制作病毒的人很可惡，確實(shí)，這些人不擇手段，獲取用戶最基本的信息，有可能售賣，有可能用來(lái)進(jìn)一步詐騙，所以小白在這里提醒用戶一定要在官方應(yīng)用商城下載應(yīng)用，并且手機(jī)上要安裝安全衛(wèi)士實(shí)時(shí)監(jiān)測(cè)手機(jī)的安全。

接下來(lái)我們看看這個(gè)網(wǎng)站的相關(guān)信息
 
經(jīng)過(guò)查詢?cè)摱��?jí)域名還發(fā)現(xiàn)了其他的傳播地址與釣魚主頁(yè)
可以看到IP地址是美國(guó)的，看來(lái)病毒制造者還是很謹(jǐn)慎的。
沒(méi)有更多信息了，不知道廣大的網(wǎng)友朋友們有沒(méi)有可以更多追溯該APP來(lái)源的方法或者手段，不吝賜教。
本人小白，寫得不好，希望可以幫助到很多的受害者，大神勿噴，謝謝。

0x03安全建議
從正規(guī)的應(yīng)用商城下載應(yīng)用，不隨意點(diǎn)擊別人給的下載鏈接
不貪小便宜，不要下載所謂的紅包、刷鉆、王能軟件之類的應(yīng)用
對(duì)自己不清楚的軟件最好先使用模擬器安裝，如果正常在安裝亦無(wú)妨


  0x04總結(jié)
廣大的安全愛好者們?nèi)绻�也喜歡分享自己的勞動(dòng)成果，喜歡破解一些游戲，喜歡解鎖一些鎖機(jī)軟件，一起討論關(guān)于軟件安全的問(wèn)題，一起破解我們想玩的游戲，一起研究很多好玩的東西。（論壇禁止留群）