躲不掉的红色炸弹，这次真的「爆」了

声明：本文由【MS509 Team】成员expsky原创，仅用于技术交流分享，禁止将相关技术应用到不当途径。

收到朋友的婚宴请帖后通常都要破费，而且不便躲避，所以请帖也俗称红色炸弹，而这次的红色炸弹真的就爆了！

上面是发生在本月的一条短信，如果你从朋友那里收到如上这样一条短信，点击里面的电子请帖链接，会下载一个APK软件，如果继续点击了这个APK文件而且你又是安卓手机的话，那么你真的中弹了。

0×01 样本逆向分析

逆向了该手机木马样本绝大部分功能，让我们一起来看下红色炸弹是怎么爆炸的。

反编译出来的代码经过了混淆，木马主要功能就在这些没有函数符号名混淆了的代码里。

1）窃取用户短信和通讯录数据

这些配置信息主要包括：

用于远程控制的手机号码、接收受害者联系人和短信隐私数据的邮箱帐号和密码、木马存活的截至日期（超过截至日期后，木马将不再工作），另外还有很多布尔值的状态参数，比如是否已经发送过联系人和短信数据，是否已激活设备管理器权限等。

获取DeviceId、型号、系统版本等手机设备信息。

接下来就是样本的主功能，首先是窃取短信和联系人数据：

2）启动名为com.phone.stop6.service.BootService的服务，劫持短信

解析远控短信命令：

短信钩子函数首先判断收到的短信是否来自于攻击者的手机，如果是来自攻击者则解析远控命令（远控命令以空格分为多个字段，第一个字段为命令控制字，后面为命令参数）。

如果短信不是来自攻击者，则根据设置的监听等级来判断是否将短信转发给攻击者

短信远控命令有三个：

命令LJ：配置短信监听等级，参数ALL表示全部监听；参数SOME表示部分监听；参数NO表示不监听 命令LOOK：参数TIME表示查询初始设置的木马存活期限；参数PHONE表示查询手机的DeviceId，系统版本等设备信息 命令SEND：控制受害者手机发送短信，参数1为发送到的手机号，参数2为发送的短信内容

为了让接收远控短信神不知鬼不觉，会设置手机静音并关闭震动，而且会删除掉攻击者发来的远控短信

3）木马主要行为流程

0×02 木马的技术对抗、诱骗行为

除了前面提到的木马会隐藏桌面图标，关闭震动并静音，加密配置文件外还有多种技术对抗和诱骗行为

1）通过诱骗受害者激活设备管理器，并利用设备管理器的漏洞，实现无法卸载

利用设备管理器漏洞：继承 DeviceAdminReceiver 重写 onDisableRequested函数，返回恐吓信息，使取消激活对话框弹出，再通过切换Activity使用户无法操作该对话框，就无法取消激活，从而达到无法卸载APP的目的

2）木马运行后，隐藏了桌面图标，再弹出欺骗信息，误导用户以为APP并未安装

3）如果用户尝试卸载APP，弹出欺骗信息后终止卸载

4）发送给木马作者的短信中，过滤掉敏感字眼，增强隐蔽性

5）加密密钥多次拼接，增强密钥隐蔽性

6）动态获取敏感API，避免安全软件静态扫描

0×3 危害性

收信的邮箱账号和密码虽然经过了加密后保存到配置文件里，但仍然可以逆向分析出原始的收信邮箱账号密码

把信收下来，可以发现大量的受害者隐私数据

攻击者远程控制受害者的手机继续群发木马链接，实现蠕虫似传播。

可以构想，攻击者通过筛选银行余额信息，挑选“优质”诈骗对象，对其隐私聊天信息进行深入了解后，实施定向诈骗，成功率和收益都会大幅提高（木马作者可以远程控制双方互发精心构造的短信内容，屏蔽掉指定短信）。

0×04 追踪溯源

通过反查，查到该邮箱下还注册大量的域名，通过黑帽SEO，制作了多种类型的钓鱼网站，诈骗网站。

招嫖欺诈网站：

办假证：

黄色网站，诱骗下载捆绑木马的播放器

赌博欺诈网站

裸聊诈骗

继续追踪

从木马作者收信信箱的登陆日志中发现了杭州、深圳、天津等多个地区的IP，作者应该使用了V**进行登陆，再查询木马及其变种的远控手机号，木马作者在深圳的可能性较大。

通过定位远控手机的位置，肯定是能追踪到具体人的，这些不是我等能做的事情，溯源就此打住……

0×05 尾声

截至撰文此刻，邮箱还会不时地收到受害者的个人隐私数据。该手机木马通过蠕虫似传播，繁殖能力强。

攻击者深入了解隐私数据后，精选“优质”对象进行针对性诈骗危害很大。而且现在很多场景，如账号注册、注销，改密、电话银行身份验证等等都依靠手机接收验证码的形式来进行。

该木马劫持短信，并可通过短信进行远程控制，威胁能力的发挥空间巨大，危害程度全凭攻击者的想象力……

最后建议不要随意点击未知来源的链接，安装APP更要谨慎，只能通过官方或者受信任的应用市场下载安装APP，安装主流的手机安全软件。

*本文原创作者：【MS509 Team】成员expsky，本文属FreeBuf原创奖励计划，未经许可禁止转载