[Security] 詐騙簡訊 apk 分析

今天吃晚餐時,收到這個簡訊,一看就很不爽,馬的,我的個資外洩啦...

最近也只有一個國外購物與辦護照之類的填寫個資之類

但沒關係,因為個資外洩不好查,加上我用的是哀鳳,網址點在多次都沒事

回到家用電腦簡單分析了一下,順便給朋友了解。

1.先分析短網址,會自動轉到黑貓宅急便,但黑貓網站是沒問題的,有問題的是短網址

這是正常的縮址

這是有問題的縮址,多了一個網址

點開後會自動導向到 "down.doomdns.org" ,然後在轉到 "www.t-cat.com.tw",

所以你看到的會是一個正常的網頁

但是如果是安卓手機會自動在down.doomdns.org 下載一個apk,

你要是點安裝就會中招啦,然後你的存款就跟你說掰掰啦。

模擬 三星 S4 手機瀏覽器環境,會跳出一個惡意程式,讓你下載安裝XD

開起網路封包分析器,確實是透過該 ip 下載的

然後在把 ip 和 DNS 拿去分析一下

DNS 是架在美國的

但是惡意的 ip 位址是在韓國的,要騙台灣人卻用韓國的伺服器,可悲的詐騙集團

Nslookup

同場加映 "log.from-ak.com"

結論:

1.請買哀鳳手機,哀鳳目前不會中這種詐騙病毒

2.來源不明的短網址,請盡量不要在手機上開啟

3.請自行連絡電信商,停用手機小額付款,避免錢財外流

4.詐騙集團竟然用的是韓國的 ip 伺服器,要詐騙好歹也用大陸的,好嗎?

5.DNS 設在美國增加了追查的難度,但還是查得到啦,因為主機都在國外,所以台灣司法已死,有事請燒紙zZZZ

6.本文僅供參考,上網請多加注意與小心

[Ref]

假黑貓宅配 傳簡訊詐千元 | 蘋果日報
簡訊病毒 – 相關資訊分享回報區 | 義集思實驗室(AegisLab)安全研究部落

No Comments Yet.

Leave a comment