当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0135904

漏洞标题:恶意APK程序调用通讯录短信传播/或可危及手机机主QQ密码安全

相关厂商:cert

漏洞作者: 路人甲

提交时间:2015-08-24 11:37

修复时间:2015-11-25 08:38

公开时间:2015-11-25 08:38

漏洞类型:重要资料/文档外泄

危害等级:中

自评Rank:7

漏洞状态: 已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-24: 细节已通知厂商并且等待厂商处理中
2015-08-27: 厂商已经确认,细节仅向厂商公开
2015-10-21: 细节向核心白帽子及相关领域专家公开
2015-10-31: 细节向普通白帽子公开
2015-11-10: 细节向实习白帽子公开
2015-11-25: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

该恶意程序通过手机短信传播,可调用机主通讯录发送恶意APK程序下载地址。机主一旦点击安装就会继续发送给通讯录所有人。且根据反编译结果看,该程序还会发短信给腾讯密码挂失号码1069070069

详细说明:

今天帮忙检修华为荣耀6手机,机主说接到通讯录内好友的短信,内容为“现在有空吗?抽个时间帮我投个票,谢谢了,地址 t.im/rlo9”在点击网址安装程序后手机立即开始疯狂给通讯录内人员发送该短信。机主立即将手机关机送修。拿到手机了解情况后,二话不说,卸掉手机卡。开始对手机进行检查。找到一款名为微投票的APK。十分可疑。安装时间为1个小时前,正是机主中毒时间。该程序权限有(接受短信,读取联系人数据,写入联系人数据,修改SD卡内容,读取设备状态和身份,发送短信)GG就是他了。(这是在我自己手机安装的,原来的手机修好后还给他了)

777.jpg

888.jpg

谁知道我点击运行时候提示“对不起,您的系统不支持本应用,请删除。”哈哈,一点击就删除。果然是为了防止被发现么?二话不说,下载APK,拿出dex2jar跟jd-gui开始反编译。

1.jpg

运行程序可直接提示“对不起,您的系统不支持本应用,请删除”

2.jpg

这个是模糊。

3.jpg

可以给1069070069发送短信,内容为“数据返回”推测该软件可读取手机QQ号码。但是无法读取到密码。可以通过给1069070069发送“找回密码”直接修改密码。但是这个功能没有启用。

4.jpg

这是调用通讯录发送短信的代码。可以看到短信内容。

5.jpg

这是调用短息发送给1069070069短息,短信信息可以修改。可以看出。还是可以通过后台发送短信去窃取机主的QQ密码。对了,顺便说下,我检修的这个人的手机是办公用的。内有1700人电话号码,已经发出去的有1000多条,安装SIM卡后他收到300多条回复,也就是说又有300多人被感染。我的水平有限希望大神能通过问题厂商模块的下载地址分析下该软件的开发者。如找到了请加我,一起研究。

漏洞证明:

修复方案:

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-08-27 08:36

厂商回复:

暂未能获取样本情况,未能复现.同时对于漏洞平台此类事件CNVD不予受理,建议向CNCERT恶意代码报送平台送测:https:///Detect/Default

最新状态:

2015-08-27:不作为漏洞确认,不能修复,提前公开.