1.样本信息
MD5:64490FBECEFA3FCDACD41995887FE510
包名:com.snda.wifi
应用名:万能钥匙
安装图标:
关联样本安装图标:
2.样本描述
该样本使用e4a框架进行快速开发,仿冒成热度较高的应用百度及wifi万能钥匙诱骗用户进行下载安装,该样本启动运行后会设置静态ip,将网关设置成wifi连接后,获取当前设备的BSSID及SSID等,将网络状态信息上传到http://www.dochtm.com(现已失效),使用之前已保存的密码连接到wifi后,使用js获取当前界面id等信息进行模拟点击登录,同时尝试使用字典对路由器密码进行**,当成功登录后,修改dns为恶意dns,这样以来,同网段连入接到wifi的设备都会遭到dns劫持,造成一定的风险性。
3.样本详细分析
基于e4a框架,自行开发wifi万能钥匙部分功能。
注册广播监视网络变化状态
当点击开启开关on事件时,执行以下操作
获取当前网段的BSSID及SSID
设置静态ip,将网关设置成wifi连接。
使用伪造的数据访问万能钥匙
当成功将dns设置为101.200.147.153时,尝试用常见的用户名及密码进行**,将字符串进行切割,得到当前密码并输出,最终跳转到对应的路由器登录界面。
设置多个时钟事件每隔1000毫秒运行函数,使用js获取当前页面的TagName及密码框提交等按钮的id,模拟点击尝试自动提交用户名,密码登录。
当dns101.200.147.153时,发送信息到主控地址http://www.dochtm.com/user/dtj.php?mac=当前mac地址。
登录成功后自动填写dns1为101.200.147.153,dns2为8.8.8.8。后续对流量进行劫持,使得经过该路由器的流量被劫持到了恶意dns服务器。
现该主控地址已失效,已被修改为球赛竞猜的站点
4.Pocs
恶意dns:
101.200.147.153
112.33.13.11
120.76.249.59
主控url:
http://www.dochtm.com(现已失效)