查看: 3433|回复: 3
收起左侧

[未鉴定] 疑似伪装成新版李跳跳的钓鱼软件

[复制链接]
AEht
发表于 2023-3-19 05:18:57 | 显示全部楼层 |阅读模式
本帖最后由 AEht 于 2023-3-20 22:51 编辑

我不知道从何说起,经历过于离奇,且听我娓娓道来。(文章尾部附上链接和安装包)

        3月19日凌晨,我在b站看到了李跳跳2.2更新的消息,
于是 我就通过 我原来装着的 旧版本李跳跳 找到了作者的微博,
并通过 微博 找到了作者发布的 新版本 的蓝奏云网盘地址。
我一切正常的点进蓝奏云网盘,正常的进行下载,期间没有任何
异常的迹象。

        最后下载到一个体积9.5兆的文件,我以为是一次平常的安装,
并没有注意到体积和包名的错误,直接安装。然后,手机管家在安装时
报毒,我并没有在意,以为是这类软件特有的误报。
打开后映入眼帘的是一副色情软件广告,并向我索要联网权限,
我很诧异,但因为好奇给了它联网权限,随后软件弹出
“把本软件设为默认短信软件”之类的字样,我意识到不对,卸载了软件。

        离奇的事开始了,我愣了一阵子后,立刻尝试找回安装包,想发到卡饭上供人
分析,却发现下载安装包的浏览器“via”中的下载记录消失不见了(虽然后来在download文件夹里找到了)
于是我开始尝试复现,却再也无法下载到钓鱼安装包,只能下载到正常的李跳跳2.2安装包。

特此发帖,想请求大佬分析,并指出我手机可能还有什么风险吗?
具“python无名氏”所说:“猜测是蓝奏搞的鬼好几次明明是点击资源链接却给我重定向到三俗网站了把apk文件给偷梁换柱成恶意软件应该挺简单的吧?”

我猜测,我怀疑蓝奏有类似“点击下载跳转广告”的这种广告服务,
接的跳转式广告审核也是睁一只眼闭一只眼,
又刚好有嫌疑人盯上了李跳跳这个固定的蓝奏下载入口,就这样了


以下链接均使用via手机浏览器访问
hxxps://m.weibo.cn/u/7266690401?uid=7266690401&t=userinfo(作者微博)

hxxps://wwe.lanzouw.com/b01v0g3wj?continueFlag=45b7de259cb193d01394f25ca952a334 (访问码1233,为李跳跳2.2下载链接)

下面附上假的李跳跳2.2安装包,密码infected
链接:hxxps://pan.baidu.com/s/1Q07ZcQ378TyJyVl2gPp_kg?pwd=3fb8
提取码:3fb8
由于我认为此事有涉毒网和病毒样本分析,所以我会在病毒样本分析区也再单独发一下请求大家分析此安装包的帖子。




hhhq316
头像被屏蔽
发表于 2023-3-29 09:16:34 | 显示全部楼层
下载链接没有复现假的下载文件,网盘中下载的文件解压后Norton报安全,手机上安装后迈克菲扫描安全,手机管家扫描安全。
AEht
 楼主| 发表于 2023-3-29 21:58:33 | 显示全部楼层
hhhq316 发表于 2023-3-29 09:16
下载链接没有复现假的下载文件,网盘中下载的文件解压后Norton报安全,手机上安装后迈克菲扫描安全,手机管 ...

废话,我描述里不是说了吗
墨水点点滴
发表于 2023-3-31 10:28:51 | 显示全部楼层
查查DNS?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-16 15:01 , Processed in 0.128361 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表