1.样本信息

MD5：64490FBECEFA3FCDACD41995887FE510
包名：com.snda.wifi
应用名：万能钥匙
安装图标：

关联样本安装图标：

2.样本描述

该样本使用e4a框架进行快速开发，仿冒成热度较高的应用百度及wifi万能钥匙诱骗用户进行下载安装，该样本启动运行后会设置静态ip，将网关设置成wifi连接后，获取当前设备的BSSID及SSID等，将网络状态信息上传到http://www.dochtm.com（现已失效），使用之前已保存的密码连接到wifi后，使用js获取当前界面id等信息进行模拟点击登录，同时尝试使用字典对路由器密码进行**，当成功登录后，修改dns为恶意dns，这样以来，同网段连入接到wifi的设备都会遭到dns劫持，造成一定的风险性。

3.样本详细分析

基于e4a框架，自行开发wifi万能钥匙部分功能。

注册广播监视网络变化状态

当点击开启开关on事件时，执行以下操作


获取当前网段的BSSID及SSID
设置静态ip，将网关设置成wifi连接。

使用伪造的数据访问万能钥匙

当成功将dns设置为101.200.147.153时，尝试用常见的用户名及密码进行**，将字符串进行切割，得到当前密码并输出，最终跳转到对应的路由器登录界面。

设置多个时钟事件每隔1000毫秒运行函数，使用js获取当前页面的TagName及密码框提交等按钮的id，模拟点击尝试自动提交用户名，密码登录。

当dns101.200.147.153时，发送信息到主控地址http://www.dochtm.com/user/dtj.php?mac=当前mac地址。

登录成功后自动填写dns1为101.200.147.153，dns2为8.8.8.8。后续对流量进行劫持，使得经过该路由器的流量被劫持到了恶意dns服务器。

现该主控地址已失效，已被修改为球赛竞猜的站点

4.Pocs

恶意dns：
101.200.147.153
112.33.13.11
120.76.249.59
主控url：
http://www.dochtm.com（现已失效）