【Android病毒分析報告】- 手機支付毒王“銀行悍匪”的前世今生

轉自：https://blog.csdn.net/androidsecurity/article/details/18984165

2014年1月8日，央視曝光了一款名為“銀行悍匪”的手機銀行木馬，該木馬高度模仿真正的手機銀行軟件，通過釣魚方式獲取用戶輸入的手機號、身份證號、銀行賬號、密碼等信息，並把這些信息上傳到黑客指定服務器。盜取銀行賬號密碼後，立即將用戶賬戶裏的資金轉走。

百度安全實驗室第一時間對“銀行悍匪”手機木馬進行了分析。安全研究員發現其實該木馬是早前風靡一時的“短信僵屍”木馬的新變種。2012年7月25日，TrustGo安全分析團隊首次發現該病毒，並對其進行命名。該病毒采用了精妙的防卸載技術阻止用戶通過正常途徑卸載，並竊取用戶金融類短信息。

通過對大量“短信僵屍“樣本的分析統計，安全研究員發現到目前為止，“短信僵屍”病毒已經迭代到第四個版本，危害也越來越大。該病毒家族幾乎囊括了目前所有針對“用戶財產”的攻擊方法。包括短信詐騙、支付寶攻擊、財付通攻擊、手機銀行攻擊。雖然迭代升級了四個版本，但是該病毒家族本身的以下特製還是一成不變的：

1、母包+惡意子包的運行機製。

2、通過技術手段防止用戶通過正常途徑卸載。

3、以竊取用戶賬戶資金為目的。

4、以短信作為指令通道。

該病毒主要有兩部分組成：

1、母包：檢測惡意子包是否安裝，如果設備沒有安裝惡意子包，則負責誘騙用戶安裝。惡意子包以圖片文件形式隱藏在assets目錄。安裝成功後，啟動惡意子包。

2、惡意子包：完成短信指令執行、防卸載等惡意行為。

母包工作原理如下：

母包會啟動一個子包安裝檢測服務，每隔數秒檢測一次是否安裝惡意子包，如果未安裝惡意子包，則安裝檢測服務會不斷彈出該誘騙安裝界麵。直到用戶妥協安裝惡意子包為止。

惡意子包工作原理及關鍵技術實現如下：

1.1、強迫用戶激活設備管理器方式

用戶如果選擇“取消”激活設備管理器，則繼續彈出激活界麵，直到用戶妥協選擇“確認”為止。

1.2、程序防卸載方式：

通過Logcat監聽日誌，當監控到用戶進入以下界麵則跳轉到HOME界麵：

1、設置->應用程序->選擇惡意子包->應用程序信息

2、惡意子包程序卸載界麵

3、設備->安全->設備管理器

一、第一版：“短信僵屍”橫空出世

2012年7月25日，TrustGo安全分析團隊首次發現該病毒，並對該病毒進行命名。該病毒是第一個采用防卸載技術阻止用戶移除的木馬。

1.1、控製信息：

默認指令控製號碼：13093632006

默認攔截規則：

<?xmlversion='1.0' encoding='UTF-8'?>

<up>

<H>

<D>13093632006</D>//指令控製號碼

</H>

<K>//短信攔截關鍵字，並上傳含有關鍵字短信息到控製號碼。

<n>轉</n><n>卡號</n><n>姓名</n><n>行</n><n>元</n><n>匯</n><n>款</n><n>hello</n>

</K>

<A>

<zdh>10</zdh>//自動回複，當遇到號碼含有該內容，自動發送“內容+號碼”到控製號碼。

</A>

</up>

1.2、短信指令格式：

短信指令功能	短信指令格式
升級攔截規則，但不覆蓋文件中的默認攔截規則	<S> 內容格式同默認攔截規則 </S>
升級攔截規則，並覆蓋文件中的默認攔截規則	<J> 內容格式同默認攔截規則 </J>
發送指定內容短信到指定號碼	<M> <con>sms content</con> <rep>phone number</rep> </M>
插入偽造短信到短信收件箱	<E> <xgh>phone number</xgh> <xgnr>sms content</xgnr> </E>

1.3 、攻擊場景：

該版本病毒通過攔截銀行類短信獲取用戶賬戶資金往來信息，獲取的信息主要用來進行精準的短信詐騙。

根據短信指令該版本有以下幾種攻擊可能：

1、通過手機短信支付方式為惡意攻擊者購買指定收費服務。如遊戲賬號充值等。

2、感染設備可能成為惡意攻擊者發送短信詐騙的肉雞。

3、根據竊取的資金賬戶往來信息，進行精準的短信詐騙。

短信詐騙場景一：

1、朋友B向感染木馬用戶A借錢並以短信形式把賬戶信息告訴A

2、該病毒截取B發來的賬戶信息，並插入以B為發送者的偽造短信到A的短信收件箱，但是賬戶信息以被修改為惡意攻擊者賬戶信息。

“請打到我愛人卡號，姓名*** *行卡號***”

3、用戶A轉賬給惡意攻擊者。

短信詐騙場景二：

1、偽造銀行U盾升級，釣魚方式獲取網銀賬號、密碼。

一、第一版：“短信僵屍”橫空出世

2012年7月25日，TrustGo安全分析團隊首次發現該病毒，並對該病毒進行命名。該病毒是第一個采用防卸載技術阻止用戶移除的木馬。

1.1、控製信息：

默認指令控製號碼：13093632006

默認攔截規則：

<?xmlversion='1.0' encoding='UTF-8'?>

<up>

<H>

<D>13093632006</D>//指令控製號碼

</H>

<K>//短信攔截關鍵字，並上傳含有關鍵字短信息到控製號碼。

<n>轉</n><n>卡號</n><n>姓名</n><n>行</n><n>元</n><n>匯</n><n>款</n><n>hello</n>

</K>

<A>

<zdh>10</zdh>//自動回複，當遇到號碼含有該內容，自動發送“內容+號碼”到控製號碼。

</A>

</up>

1.2、短信指令格式：

短信指令功能	短信指令格式
升級攔截規則，但不覆蓋文件中的默認攔截規則	<S> 內容格式同默認攔截規則 </S>
升級攔截規則，並覆蓋文件中的默認攔截規則	<J> 內容格式同默認攔截規則 </J>
發送指定內容短信到指定號碼	<M> <con>sms content</con> <rep>phone number</rep> </M>
插入偽造短信到短信收件箱	<E> <xgh>phone number</xgh> <xgnr>sms content</xgnr> </E>

1.3 、攻擊場景：

該版本病毒通過攔截銀行類短信獲取用戶賬戶資金往來信息，獲取的信息主要用來進行精準的短信詐騙。

根據短信指令該版本有以下幾種攻擊可能：

1、通過手機短信支付方式為惡意攻擊者購買指定收費服務。如遊戲賬號充值等。

2、感染設備可能成為惡意攻擊者發送短信詐騙的肉雞。

3、根據竊取的資金賬戶往來信息，進行精準的短信詐騙。

短信詐騙場景一：

1、朋友B向感染木馬用戶A借錢並以短信形式把賬戶信息告訴A

2、該病毒截取B發來的賬戶信息，並插入以B為發送者的偽造短信到A的短信收件箱，但是賬戶信息以被修改為惡意攻擊者賬戶信息。

“請打到我愛人卡號，姓名*** *行卡號***”

3、用戶A轉賬給惡意攻擊者。

短信詐騙場景二：

1、偽造銀行U盾升級，釣魚方式獲取網銀賬號、密碼。

二、第二版：強化賬戶信息竊取，增加針對支付寶賬戶攻擊

該版本的短信僵屍病毒在第一版本的基礎上做了如下改進：

1、增強了默認的攔截規則。通過增強攔截關鍵字，惡意攻擊者幾乎可以得到所有與用戶相關賬戶、財產相關的隱私信息。

2、批量發送詐騙短信的能力。包括陌生人和所有聯係人。

3、增加針對支付寶賬號的攻擊。

4、優化短信詐騙場景細節, 如向聯係人發送完詐騙短信後，設置手機進入飛行模式，使對象無法進行電話確認。

1.1、控製信息：

默認指令控製號碼：13482728336

默認攔截規則：

<?xml version='1.0'encoding='UTF-8'?>

<up>

<K>

</K>

</up>

1.2、短信指令格式：

在第一版本基礎上增加如下短信指令：

短信指令	短信指令格式
開啟關閉短信監聽	<n> <g> <g>//開啟短信監聽 <h> </h>//關閉短信監聽 </n>
批量發送短信	<p> <t>發送時間間隔</t> <c>發送次數</c> <o>短信內容</o> <r>手機號碼</r> </p>
向所有聯係人發送特定短信	<l> <z>短信內容</z> </l>
撥打電話	<b> <w>電話號碼</w> <u>撥打時間</u> </b>

1.3、攻擊場景：

根據短信指令該版本在第一版的基礎上增加了以下攻擊場景：

1、通過撥打電話進行電話吸費。

2、向所有聯係人發送詐騙短信。

“朋友找我借500元急用，幫我匯下，我現在抽不開身，等會忙好了把錢給你，工商銀行，張子遠，6222021…”

3、支付寶賬戶資金的竊取。

利用支付寶“找回密碼”功能，根據“找回密碼”流程設計，如果能夠獲取以下三個因子即可成功獲取支付寶賬號：

1、登錄名（手機號碼即為登錄名，攻擊者能夠獲取）

2、手機驗證碼（短信驗證碼攔截能夠獲取）

3、證件號碼（賬戶資金往來往往需要告知身份證號，獲取幾率很大）

第一步：選擇忘記登錄密碼。

第二步：選擇通過“手機校驗碼+證件號碼”方式找對登錄密碼。

第三步：輸入手機號碼+驗證碼+身份證號找回登錄密碼。

最後更新：2017-04-03 12:55:01

【Android病毒分析報告】- 手機支付毒王“銀行悍匪”的前世今生

上一篇： Android 開發 NDK從入門到精通

下一篇： HDU 1236 排名

相關內容

熱門內容

最新內容