895
關於安卓“微信盜號木馬”監測處置情況的通報
近日,國家互聯網應急中心(以下簡稱“CNCERT”)收到中國反網絡病毒聯盟(以下簡稱“ANVA”)成員單位“獵豹移動”報送的安卓“微信盜號木馬”程序,第一時間開展分析驗證和監測處置工作,現將相關情況通報如下:
01 基本信息
此病毒程序安裝後無圖標,在已安裝程序列表中可以看到“wallpapercropper”或者“supersu”的圖標;
“微信盜號木馬”的惡意行為主要分成3個方麵:
1、界麵劫持行為:監測“微信”APP,當“微信”啟動後,將偽造的登錄界麵強製覆蓋至正在運行的“微信”界麵,誘騙並竊取用戶輸入微信登錄賬號、登錄密碼和支付密碼;
2、信息竊取行為:竊取用戶短信息、“微信”程序所在根目錄下的文件、手機固件信息;
3、遠程控製行為:向惡意服務器請求控製指令數據,執行服務器返回的控製指令。
啟動需要4個觸發條件:
(1)手機重啟時啟動
(2)屏幕喚醒時啟動
(3)手機聯網時啟動
(4)自定義行為
02 界麵劫持行為分析
2.1 程序啟動後監測微信,當微信啟動後便會將偽造的微信登錄界麵、安全驗證界麵覆蓋至微信界麵,誘騙竊取用戶微信登錄賬號、密碼、支付密碼。
圖1:偽造的微信登錄界麵和安全驗證界麵
圖2:界麵劫持行為的代碼證據
圖3:竊取微信登錄密碼的代碼證據
2.2 程序私自彈窗提示用戶微信登錄過期,啟動偽造的微信登錄界麵誘騙用戶重新登錄微信,竊取用戶登錄賬號、密碼、支付密碼。
圖4:提示微信登錄過期的提示
圖5:提示微信登錄過期的代碼證據
03 信息竊取行為分析
3.1 竊取短信:該木馬程序私自讀取本地短信息數據庫文件,獲取短信息,並上傳至惡意服務器:
圖6:讀取本地短信數據庫的代碼證據
圖7:回傳短信數據的代碼證據
3.2 竊取文件:私自壓縮微信根目錄下文件,並上傳到惡意服務器。
圖8:回傳短信數據的代碼證據
3.3 竊取固件信息:私自上傳用戶手機IMEI碼、手機型號、係統版本等信息。
圖9:回傳固件信息的代碼證據
04 遠程控製行為分析
程序請求服務器獲取數據,並進行解析,根據解析的數據執行相應的操作。
圖10:遠程控製行為的代碼證據
05 監測處置情況
該惡意程序所用的控製域名為uu636.com,CNCERT已協調該域名的注冊商美橙互聯對該域名進行關停,目前該域名已處於關閉狀態。
06 黑名單數據共享
本次事件涉及到的惡意程序信息如下:
6.1 惡意程序文件MD5:
A19BCA70F4500AF8FF2ECEA29EA697FF
FFEA14CF3FC55DC3D36DC39EF6179D6A
6.2 惡意程序所用的控製域名和URL:
uu636.com
https://uu636.com/wx.aspx
https://uu636.com/sms.aspx
https://uu636.com/upload.aspx
https://uu636.com/state.aspx
https://uu636.com/info.aspx
6.3 惡意程序所用的控製服務器IP地址:
216.250.107.175
近期,各成員單位可通過登錄黑名單信息共享平台獲取該移動互聯網惡意程序信息,包括移動惡意程序的MD5、惡意程序所用的控製域名和URL地址及控製服務器IP地址等信息,具體詳情請登陸以下地址獲取:https://share.anva.org.cn
最後更新:2017-04-10 22:31:14