首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
探索世界的好奇心万岁
Udacity
网易公开课
Godel, Escher, Bach: An Eternal Golden Braid
V2EX  ›  分享发现

做了一次活雷锋

  •  3
     
  •   happypy1 · 2016-08-21 23:04:17 +08:00 · 5038 次点击
    这是一个创建于 1201 天前的主题,其中的信息可能已经有所发展或是发生改变。

    今天晚上我叔叔忽然发了一个信息给我说,他手机中毒了,如果收到短信,千万不要点击里面的链接。正好我家里人的群里有把那个短信的内容截图出来了。

    pic1

    链接是个网站nbvtr.cn/qm,我在 Safari 里打开以后,下了一个“照片.apk ”的文件下来。稍微用了一些手段,把这个 apk 给反编译了一下, dex2jar 有些文件没有反编译成功,但是大部分没有问题,稍微看了一下生成的 Java 代码,然后在某个类里发现了有趣的内容:

    Imgur

    猜想这个 app 是不是会把本机信息后台发送到某个新浪邮箱,然后做了一番搜索,找到了另外一个类里有这些信息:

    Imgur

    邮箱地址知道了,于是估计一下下面那个 A80 字符串可能是密码,在新浪 VIP 邮箱里尝试登录了一下,果然登录进去了。

    邮箱主界面里显示有两千多封未读邮件,在我翻阅这个邮箱的时候,新的邮件还在一直接收。

    Imgur

    Imgur

    有这种偷短信的

    Imgur

    也有这种偷通讯录所有联系人的

    Imgur

    看了一下邮箱注册信息,发现这个邮箱今天才注册的。。(搞这个 app 的哥们,对不起。。,我今天正好闲着没事做。。) Imgur

    现在要发扬雷锋精神了:)。君子爱财,取之有道。

    Imgur

    之后又想改密码,但是最初 1password 生成的密码超过了 16 位,我没有意识到,结果改了两三次以后,老是失败,才发现新浪只支持最高 16 位字符,可是等我再试原来的密码,竟然不正确,不知道是怎么回事。。有可能是新浪的邮箱安全设置,邮箱主人收到提醒,立刻把密码改了。总之,在我写完这篇文章的时候,收件箱是空的,没有新的邮件进来。

    后来又搜了一下这个域名的信息

    Imgur

    好家伙,有100 多个域名

    Imgur

    最后的最后,做完这件事,感觉我胸前的红领巾更鲜艳了

    62 回复  |  直到 2016-11-22 15:44:55 +08:00
        1
    Hyeongo   2016-08-21 23:13:01 +08:00 via iPhone
    干的漂亮
        2
    szanlin   2016-08-21 23:16:20 +08:00
    Good job !

    偷这样的信息有什么用?卖?
        3
    mdzz   2016-08-21 23:18:26 +08:00
    上次反编译「照片.apk 」不是这个邮箱和密码
    应该有很多邮箱密码,打掉一个邮箱还有很多邮箱
        4
    woshinidie   2016-08-21 23:20:24 +08:00   ♥ 1
    关键字喂搜索 何丽君 骗子 短信 上海贝锐信息科技有限公司
        5
    stupidcat   2016-08-21 23:23:31 +08:00
    开启登录邮箱两步验证可保无虞
        6
    upczww   2016-08-21 23:24:44 +08:00 via Smartisan T1
    楼主,我觉得可以报警了,我看了那些网址打开全部都有木马,估计反编译一下还有很大收获。
        7
    greatghoul   2016-08-21 23:27:47 +08:00
    雷锋同志,你好。
        8
    abelyao   2016-08-22 00:22:41 +08:00
    竟然敢用 .cn 域名做这事…
        9
    liangguan5   2016-08-22 00:52:30 +08:00
    见证着我们对以往某个时间段的停留 上海贝锐信息科技有限公司 骗子 短信 何丽君
    见证着我们对以往某个时间段的停留 上海贝锐信息科技有限公司 骗子 短信 何丽君
    见证着我们对以往某个时间段的停留 上海贝锐信息科技有限公司 骗子 短信 何丽君
        10
    markx   2016-08-22 01:16:39 +08:00
    诶如果有这个域名注册信息的话,公安是不是可以行动了?
        11
    7654   2016-08-22 02:21:47 +08:00   ♥ 5
    上海贝锐信息科技有限公司是花生壳啊。。。
        12
    SNOOPY963   2016-08-22 05:59:50 +08:00 via iPhone
    @woshinidie 贝锐是注册商啊……
        13
    dariner   2016-08-22 06:27:34 +08:00
    第二段的数据是哪里查的
        14
    supman   2016-08-22 06:56:36 +08:00 via Android
    想问下 如果没有 root 会被偷到信息吗
        15
    Return2legacy   2016-08-22 07:02:40 +08:00 via Android
    关注事情后续发展
        16
    ZoddessYoung   2016-08-22 07:53:52 +08:00
    干得漂亮!
        17
    bayernmunchen   2016-08-22 07:57:39 +08:00 via Android
    干的漂亮
        18
    boro   2016-08-22 08:28:24 +08:00 via iPhone
    做的非常好,👍
        19
    boro   2016-08-22 08:29:58 +08:00 via iPhone
    樓主有興趣再來玩下這個 http://v2ex.com/t/299999#reply3
        20
    happypy1   2016-08-22 08:31:12 +08:00
    @markx @upczww 楼主在袋鼠国啊,报不了警。再说,公安要是想管,早就管了。以 zf 强大的信息管治能力,连我都能翻出来一些信息,警察分分钟的事。只不过屁民的信息太浪费警察叔叔的时间了,没空管。

    @7654 @SNOOPY963

    域名注册商应该会有域名主人的各种认证信息吧?

    @supman

    我看了一下那个 apk 的权限请求,基本上是全部。。所以只要你同意了,那 root 不 root 都没有关系
        21
    zhang1215   2016-08-22 08:41:03 +08:00
    楼主干得漂亮!
        22
    alex321   2016-08-22 09:30:41 +08:00
    最近微众 APP 的更新也特别添加了类似的权限,允许在用户没有感知的情况下对外发送邮件。
    并且强制原来在 Play 上安装的无法使用,必须更新到这个新增权限了得版本才可以用。
        23
    loading   2016-08-22 09:36:20 +08:00 via Android
    以前外挂黑产老炮儿都是避开银行相关,现在这些偷短信的都是十八九岁的吧……没死过!
        24
    SNOOPY963   2016-08-22 10:00:30 +08:00
    @happypy1 也就姓名邮箱手机身份证号码,身份证号码还不见得是本人的。
        25
    SNOOPY963   2016-08-22 10:02:04 +08:00
    @supman 读取短信的权限又不是 root 之后才会有,安装的时候看到读取短信的权限就可以不安装了。顺便安装应用应该去 Play Store 。以及禁掉未知源。
        26
    qinxi   2016-08-22 10:11:25 +08:00
    @liangguan5 强行优化 seo
        27
    virusdefender   2016-08-22 10:53:12 +08:00
    这种木马出现好几年了,反编译过 n 个,进邮箱算是简单的,有的服务器都拿过,成千上万的信息,根本没人管。
        28
    indust   2016-08-22 10:57:04 +08:00   ♥ 1
    为什么我只看到了"30 天内不小心误删的邮件可以恢复"这几个字..
        29
    happypy1   2016-08-22 11:14:11 +08:00
    @indust
    新浪的产品经理可以辞职了,我注意到了,但是我找不到那个功能在哪里。不过我将删除邮件文件给彻底清空了。
        30
    wql   2016-08-22 11:23:52 +08:00 via Android
    见证着我们对以往某个时间段的停留 上海贝锐信息科技有限公司 骗子 短信 何丽君
    见证着我们对以往某个时间段的停留 上海贝锐信息科技有限公司 骗子 短信 何丽君
    见证着我们对以往某个时间段的停留 上海贝锐信息科技有限公司 骗子 短信 何丽君
        31
    Tony2ee   2016-08-22 11:58:44 +08:00
    见证着我们对以往某个时间段的停留 短信 骗子 美好的怀念 照片 nbvtr.cn 诈骗 窃取隐私 malware
    见证着我们对以往某个时间段的停留 短信 骗子 美好的怀念 照片 nbvtr.cn 诈骗 窃取隐私 malware
    见证着我们对以往某个时间段的停留 短信 骗子 美好的怀念 照片 nbvtr.cn 诈骗 窃取隐私 malware
    来一波 SEO 哈哈
        32
    Deeer   2016-08-22 12:27:03 +08:00
    最喜欢看别人干这样的事,快报警啊
        33
    bk201   2016-08-22 12:38:43 +08:00 via iPhone
    所以为什么要写死代码
        34
    happypy1   2016-08-22 14:23:37 +08:00
    @bk201

    密码始终得存在本地,否则就无法发送邮件了。如果加密了,也只是多费了一些曲折。
        35
    leafin   2016-08-22 14:36:58 +08:00
    这骗子,连基本的安全意识都没有,收发邮件的邮箱怎么可以用同一个呢!!
        36
    bk201   2016-08-22 14:45:53 +08:00 via iPhone
    @happypy1 我的意思是完全不应该存在本地啊,比如可以注册邮箱小号随机发一个帐号密码到 app (接口)发送邮件,大号再对所有邮箱接收.
        37
    djyde   2016-08-22 16:42:10 +08:00


    感觉河南人又要被黑了 😂
        38
    564425833   2016-08-22 17:00:08 +08:00
    @bk201 这届骗子不行
        39
    kiya   2016-08-22 17:02:20 +08:00
    貌似和楼主一个群里 XD
        40
    riverphoenix   2016-08-22 17:26:25 +08:00
    见证着我们对以往某个时间段的停留 上海贝锐信息科技有限公司 骗子 短信 何丽君
    见证着我们对以往某个时间段的停留 上海贝锐信息科技有限公司 骗子 短信 何丽君
    见证着我们对以往某个时间段的停留 上海贝锐信息科技有限公司 骗子 短信 何丽君
        41
    panlilu   2016-08-22 17:36:44 +08:00
    GoodJob ,干得漂亮
        42
    ilikekindle   2016-08-22 17:49:33 +08:00
    还是 google 好,用“何丽君 骗子 短信 上海贝锐信息科技有限公司”搜索,第一条答案就是本帖子。
        43
    ilikekindle   2016-08-22 17:52:05 +08:00
        44
    supman   2016-08-22 18:03:18 +08:00
    又找到两个。。

    [email protected]/lao888
    [email protected]/qq123123
        45
    supman   2016-08-22 18:04:16 +08:00
    @happypy1

    [email protected]/lao888
    [email protected]/qq123123

    灭了他~~
        46
    happypy1   2016-08-22 19:33:01 +08:00
    @supman
    good job 。这两个邮箱都是今天刚注册的,密码已改。暂时可以杜绝木马继续上传信息了。不过我发现那个新浪的删除恢复页面了,果然那些邮件都还在,好像只能手工一个一个的恢复。要想斩草除根的话,还是得找有关部门或者新浪封了这些邮箱,叫他们一点东西都拿不到。
        47
    jacy   2016-08-22 19:37:21 +08:00 via Android
    这种偷信息很普遍,人家坑定还有很多邮箱
        48
    moonkiller   2016-08-22 19:42:58 +08:00
    lz 好样的
        49
    supman   2016-08-22 20:02:26 +08:00
    @happypy1 。。改了密码也没用。。一会儿就被改过去了。。
        50
    popok   2016-08-22 20:28:19 +08:00 via iPhone
    看到你下载 apk ,我就猜到会有什么了
        51
    wslsq   2016-08-22 21:00:27 +08:00
    楼主,,你把注册商人给抹黑了。。。何丽均那个是域名保护以后显示注册商负责人的名字。。
        52
    imNull   2016-08-22 21:38:39 +08:00 via Android
    @wslsq .cn 域名貌似不能开隐私保护,阿里云是这样的
        53
    wclebb   2016-08-22 22:49:13 +08:00
    @szanlin 很简单──只要让银行发验证给那个木马机,然后木马机收到短信秒转发到电子邮件,然后黑客可以干嘛就干嘛了。
        54
    Xbluer   2016-08-22 23:11:34 +08:00
    @wclebb 也没那么容易,有些银行的验证码与交易相关联的,验证码只能用于刚刚生成的指定交易订单,还不至于想干嘛就干嘛的。
    当然,如果连网银账号、 U 盾都泄露了,那就没辙了。
        55
    wslsq   2016-08-23 00:29:28 +08:00
    @imNull 我在西数表示可以开的。。
        56
    wclebb   2016-08-23 00:46:32 +08:00
    @Xbluer 就是在刚刚生成的指定交易订单啊,输入木马机的手机号,然后直接发送验证码,然后邮箱收到新鲜出炉的邮件,然后复制,输入,然后随便找个洗钱的方式解决掉……什么银行号,泄漏还不够多么?……
        57
    kawaiiushio   2016-08-23 01:00:13 +08:00
    @djyde 也不是我們要黑,這地方出來的也都呵呵。
        58
    anexplore   2016-08-23 11:41:54 +08:00
    报警
        59
    hlg002   2016-08-23 12:11:32 +08:00
    吓得我又买了一部 iPhone
        60
    liuxu   2016-08-23 13:43:48 +08:00
    希望这是个连续剧
        61
    mingyun   2016-08-28 15:20:38 +08:00
    佩服
        62
    dan994   2016-11-22 15:44:55 +08:00
    老妈收到了类似的,再加两个链接
    amoyait.com
    scidaca.com
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1316 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 28ms · UTC 17:41 · PVG 01:41 · LAX 09:41 · JFK 12:41
    ♥ Do have faith in what you're doing.