最近一直收到518人力銀行忘記密碼的驗證簡訊，問題是根本不是我本人發起的，寫信給518反映之後，也發現原來一開始忘記密碼的簡訊也是假的!!

擬真度極高呀!!

後來一直都沒有在理會這個寄個不停的簡訊，比較有趣的是，原來一切都是在鋪這個梗，之後出現以下這張圖的簡訊:

 

認真一點看，就會發現www.518-tw.com根本不是真正的518域名呀!....

而且安全認證的手法看起來就不可能是正常系統會這樣做的，基於研究的精神，還是從電腦把這個apk下載下來，反編譯看看在搞甚麼名堂。

 

首先，程式只有32.3k就已經讓人很質疑了，然後他使用的package id是:com.android.system.emial

偽裝成518人力銀行的名字跟圖片

 

他宣告了以下幾個權限:

• <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
• <uses-permission android:name="android.permission.INTERNET"/>
• <uses-permission android:name="android.permission.READ_PHONE_STATE"/>
• <uses-permission android:name="android.permission.READ_SMS"/>

從以上的權限可以看出，大致上是一種在背景持續挖掘簡訊跟通話紀錄，然後上傳到某資料庫這樣的惡意軟體

呼叫的webservice路徑是:facebook-mybid.com.tw/sms.php

 

主要程式進入點開啟一個不死的service，不斷的收集用戶簡訊

  public void onDestroy()
  {
    super.onDestroy();
    stopForeground(true);
    Intent localIntent = new Intent();
    localIntent.setClass(this, SmSserver.class);
    startService(localIntent);
  }

其中還有利用繼承ContentObserver來實現即時的資料變化偵測，若有新的來電或簡訊，就會馬上背景上傳到對方的資料庫去。

是在是非常的惡意呀!!

這樣大肆搜刮人民的隱私紀錄

所以在這邊強列建議大家升級android 6.0

6.0權限的機制改成Runtime Permissions

也就是跟ios一樣，比較容易侵犯到用戶隱私的權限第一次會跳系統視窗出來，詢問用戶是否同意

所以像這個惡意軟體要讀取簡訊跟電話紀錄等，在6.0就一定會跳系統的視窗詢問，用戶只要按下否，就妥當了。