背景：

前段时间报道台媒称，湖北省武汉市一名男子的手机，疑似遭受“短信炸弹”攻击，1个月内收到3万多则网站注册或取回密码短信。他被搞的心烦意乱，还因此患轻度忧郁症。

相信上述新闻中所说的短信炸弹大家或多或少都听过，甚至是亲身经历过。百度上随便一搜索，就能发现大量的所谓“短信轰炸机”，试用一下效果都还挺不错，有的还搞出了升级加强版。

这次我们获取样本：小刀短信轰炸机强化版（只要输入对方手机号码即可开启轰炸!非常恐怖）

接下来我们开始反编译分析这个软件！其实短信轰炸机是恶意发送垃圾短信的最好工具。可以对移动、联通、电信手机发送大量的短信，使对方手机时刻处于接收短信状态，一个强大的短信轰炸机能做到每秒发送上百条短信，一般手机都收不了这么快！ 不过这种软件一般都很少见，请勿用于非法途径！

这个软化架构与累包，非常奇葩这个黑客既然中文命名很多类操作！

发起轰炸就是执行以下命令

就一个按钮事件开始多线程的执行轰炸!

运行原理:

大家都用手机注册过网站吧？ 先填手机号，然后发一条验证码过去，输入验证码，完成验证，注册成功！短信轰炸机就是利用了这个步骤的漏洞：去用很多网站重复给手机提交验证码短信！

这种软件的原理就是批量访问接口(本文中的接口是指很多网站发短信的接口)，每个网站都有他自己的短信接口，比如“ 输入手机号 ”点发送验证码，就会去访问这个的接口，然后就来验证码短信了，短信轰炸机就是利用这点，用内置的很多接口，无限访问这些接口，手机就会一直收到超多的注册短信，这就是短信轰炸！通过各大平台获取短信验证码，或电话达到恶意发送垃圾短信目的的工具。这种“短信炸弹”主要是通过特制的软件不断往一手机号码发重复的垃圾短信，以达到骚扰和恶搞的效果。（如图各大平台短信接口全部被利用来发集群短信）

许多网站都依据手机号码作为用户身份的唯一ID，在用户注册、用户身份二次校验等场景，常常采用发送短信验证码的方式来校验用户的真实手机号码。如果短信发送流程有逻辑漏洞或者干脆短信接口不做任何控制，就会给不法分子留下钻空子的机会，他们会收集网上非常多的短信验证接口，一旦接到攻击某个手机号码的任务，系统就会向所有这些接口发送请求，同时附带被攻击的手机号码。紧接着各种各样的注册短信、二次校验短信就会向潮水一般涌向被攻击的手机。这就是各种短信轰炸机的原理。

另一方面我们发掘软件内部网，发现大量的短信接口而且都是没有设置二次认证的。可见短信轰炸的背后深层次原因来自网站没有对自身的短信发送接口采取保护措施。对于拥有这些短信校验接口的网站来说，自己的接口被滥用，不仅仅会带来品牌商的损失（设想自己的产品名称作为垃圾短信出现在用户的手机里），更重要的是，由于每发送一条短信，企业都需要向服务商交纳5分到1毛不等的费用，这可是实实在在的金钱损失。笔者就曾见过某大型网站每天仅发送垃圾短信的费用就达到上万元！希望相关在上面名单的短信接口网站运营商，努力封堵该漏洞吧!