责任编辑：支书Woojune

逆向了该手机木马样本绝大部分功能，让我们一起来看下红色炸弹是怎么爆炸的

反编译出来的代码经过了混淆，木马主要功能就在这些没有函数符号名混淆了的代码里

这些配置信息主要包括：

用于远程控制的手机号码、接收受害者联系人和短信隐私数据的邮箱帐号和密码、木马存活的截至日期（超过截至日期后，木马将不再工作），另外还有很多布尔值的状态参数，比如是否已经发送过联系人和短信数据，是否已激活设备管理器权限等。

获取DeviceId、型号、系统版本等手机设备信息。

接下来就是样本的主功能，首先是窃取短信和联系人数据：

解析远控短信命令：

短信钩子函数首先判断收到的短信是否来自于攻击者的手机，如果是来自攻击者则解析远控命令（远控命令以空格分为多个字段，第一个字段为命令控制字，后面为命令参数），如果短信不是来自攻击者，则根据设置的监听等级来判断是否将短信转发给攻击者

短信远控命令有三个：

为了让接收远控短信神不知鬼不觉，会设置手机静音并关闭震动，而且会删除掉攻击者发来的远控短信

除了前面提到的木马会隐藏桌面图标，关闭震动并静音，加密配置文件外还有多种技术对抗和诱骗行为

利用设备管理器漏洞：继承 DeviceAdminReceiver 重写 onDisableRequested函数，返回恐吓信息，使取消激活对话框弹出，再通过切换Activity使用户无法操作该对话框，就无法取消激活，从而达到无法卸载APP的目的    

收信的邮箱账号和密码虽然经过了加密后保存到配置文件里，但仍然可以逆向分析出原始的收信邮箱账号密码

把信收下来，可以发现大量的受害者隐私数据

攻击者远程控制受害者的手机继续群发木马链接，实现蠕虫似传播。

可以构想，攻击者通过筛选银行余额信息，挑选“优质”诈骗对象，对其隐私聊天信息进行深入了解后，实施定向诈骗，成功率和收益都会大幅提高（木马作者可以远程控制双方互发精心构造的短信内容，屏蔽掉指定短信）

通过反查，查到该邮箱下还注册大量的域名，通过黑帽SEO，制作了多种类型的钓鱼网站，诈骗网站。

招嫖欺诈网站：

办假证：

黄色网站，诱骗下载捆绑木马的播放器

赌博欺诈网站

裸聊诈骗

继续追踪

从木马作者收信信箱的登陆日志中发现了杭州、深圳、天津等多个地区的IP，作者应该使用了VPN进行登陆，再查询木马及其变种的远控手机号，木马作者在深圳的可能性较大。通过定位远控手机的位置，肯定是能追踪到具体人的，这些不是我等能做的事情，溯源就此打住……

截至撰文此刻，邮箱还会不时地收到受害者的个人隐私数据。该手机木马通过蠕虫似传播，繁殖能力强。攻击者深入了解隐私数据后，精选“优质”对象进行针对性诈骗危害很大。而且现在很多场景，如账号注册、注销，改密、电话银行身份验证等等都依靠手机接收验证码的形式来进行，该木马劫持短信，并可通过短信进行远程控制，威胁能力的发挥空间巨大，危害程度全凭攻击者的想象力……

最后建议不要随意点击未知来源的链接，安装APP更要谨慎，只能通过官方或者受信任的应用市场下载安装APP，安装主流的手机安全软件。

版权声明：

本文由MS509团队成员原创，转载请注明来源

注：本文已由团队成员“expsky”2016-07-11 发布于“FreeBuf”