2016-09-10 21:00 家父收到陌生号码的短信，大致内容如下：

X(姓氏)家长，你好，为了不使家长错过学校的通知，请及时下载校园网 http://IP/path 逾期自负。

由于该短信破绽百出，家父没有第一时间下载，与我取得联系。

疑点

1. 已外出实习，并不在学校。
2. 学校从未使用过之类方式联系家长。
3. 直接一个 IP，能不能走点心。
4. 打开后连个页面都没有，直接下载了一个 apk。
5. 站点是 IIS，目录直接显示出来了

请求的 URL http://103.255.61.169:80/
物理路径 d:\freehost\kankan123\web

应对

第一反应是骗子，妥妥的。然后刚好无聊，准备搞搞他。

查了一下 IP

• IP:103.255.61.169
• 本站数据：香港特别行政区
• 参考数据1：香港
• 参考数据2：APNIC

将计就计，下载他准备的 apk，并且反编译。

一般来说，这种情况是木马居多。主要针对用户的电话本和短信记录动手。 所以所有数据一定会有一种方式回传到 源头。

而最简单并且可靠的方式就是 —— 邮件！

果然，找到了我想要的东西。

一个静态类里，记录了一个189的邮箱和密码。 不过虽然是一个189邮箱，户主用个却是一个 湖南长沙 的移动号码。姓陈。 邮箱里躺着近600封邮件。

危害

先上图

想想看，对方知道了你所有的联系人和短信，最简单的，刷爆你银行卡/支付宝什么的。 再高级点，通过短信分析下谁和你比较熟，骗点钱啥的，嗯哼？

而且，查看其源码，发现还通过宿主机器的通讯录进行再传播。已具备了一定的扩散能力。

最后

技术本没有对错，善与恶都在用的人一念之间。

望大家都能 不忘初心