探秘短信马产业链-从逆向到爆菊- 国士无双.pdf

原⽂地址:/tips/789 0x00 楔⼦ 近⽇，⼩明有了⼀桩烦⼼事，扰的他寝⾷难安。原来是⼥神的某安卓⼿机出了怪 ，短信收不到，发出去别⼈也收不到，更可⽓的是⼥神⽤来准备⽹购的钱都 被神秘刷⾛。当⼥神满⼼焦躁翻遍通讯录时，蓦然发现了⼩明的备注：千⽄顶17号-电脑、刷机。于是在⼥神可怜巴巴⼤眼睛的注视下，⼩明把胸脯拍的⼭ 响，承诺⼀天搞定。 于是，⼩明拿到了梦寐以求的⼥神⼿机。可没想到，后⾯发⽣的事让他始料未及。 0x01 锁定元凶 拿到⼿机的第⼀件事，就是找到收不到短信的原因。翻了翻系统短信设置和APP，装的东西都很正常，没有发现可疑的空⽩图标，⽤软件管理⼯具查看，也没 有发现可疑的迹象。于是⼩明从系统程序开始排查，果不然，在打开“⾕歌商店”时，发现了狐狸尾巴。 如下图所⽰，第⼀，在未联⽹时点击这种APP会提⽰“⼿机⽆法联⽹”。 第⼆，在联⽹时点击这种APP会提⽰⼀⼤堆权限要求和出现“⽹络正常”提⽰ 看到这，⼩明笑了，这不就是最正⽕的短信拦截马嘛。于是果断把⼿机通过豌⾖荚导出⽬标APK⽂件包。如图所⽰ 看着桌⾯上不到100KB的短信马，⼩明默默的系上了围裙 （安卓虚拟环境），找出了⼿术⼑ （反编译⼯具dex2jar+Xjad），把马⼉按到在解剖台 （Eclipse） 上。 0x02 庖丁解⽜ ⾸先，⼩明把APK⽂件解压，然后找到关键的classe