【Android病毒分析报告】- 手机支付毒王“银行悍匪”的前世今生

转自:http://blog.csdn.net/androidsecurity/article/details/18984165

   2014年1月8日,央视曝光了一款名为“银行悍匪”的手机银行木马,该木马高度模仿真正的手机银行软件,通过钓鱼方式获取用户输入的手机号、身份证号、银行账号、密码等信息,并把这些信息上传到黑客指定服务器。盗取银行账号密码后,立即将用户账户里的资金转走。

   百度安全实验室第一时间对“银行悍匪”手机木马进行了分析。安全研究员发现其实该木马是早前风靡一时的“短信僵尸”木马的新变种。2012年7月25日,TrustGo安全分析团队首次发现该病毒,并对其进行命名。该病毒采用了精妙的防卸载技术阻止用户通过正常途径卸载,并窃取用户金融类短信息。

   通过对大量“短信僵尸“样本的分析统计,安全研究员发现到目前为止,“短信僵尸”病毒已经迭代到第四个版本,危害也越来越大。该病毒家族几乎囊括了目前所有针对“用户财产”的攻击方法。包括短信诈骗、支付宝攻击、财付通攻击、手机银行攻击。虽然迭代升级了四个版本,但是该病毒家族本身的以下特制还是一成不变的:

   1、 母包+恶意子包的运行机制。

   2、 通过技术手段防止用户通过正常途径卸载。

   3、 以窃取用户账户资金为目的。

   4、 以短信作为指令通道。

   该病毒主要有两部分组成:

   1、 母包:检测恶意子包是否安装,如果设备没有安装恶意子包,则负责诱骗用户安装。恶意子包以图片文件形式隐藏在assets目录。安装成功后,启动恶意子包。

   2、 恶意子包:完成短信指令执行、防卸载等恶意行为。

   母包工作原理如下:

   母包会启动一个子包安装检测服务,每隔数秒检测一次是否安装恶意子包,如果未安装恶意子包,则安装检测服务会不断弹出该诱骗安装界面。直到用户妥协安装恶意子包为止。

   恶意子包工作原理及关键技术实现如下:

   1.1、强迫用户激活设备管理器方式

        用户如果选择“取消”激活设备管理器,则继续弹出激活界面,直到用户妥协选择“确认”为止。

   

   1.2、程序防卸载方式:

         通过Logcat监听日志,当监控到用户进入以下界面则跳转到HOME界面:

         1、设置->应用程序->选择恶意子包->应用程序信息

         2、 恶意子包程序卸载界面

         3、设备->安全->设备管理器

一、第一版:“短信僵尸”横空出世

        2012年7月25日,TrustGo安全分析团队首次发现该病毒,并对该病毒进行命名。该病毒是第一个采用防卸载技术阻止用户移除的木马。

1.1、控制信息:

     默认指令控制号码:13093632006

     默认拦截规则:

       <?xmlversion='1.0' encoding='UTF-8'?>

       <up>

             <H>

                  <D>13093632006</D>//指令控制号码

             </H>

             <K>//短信拦截关键字,并上传含有关键字短信息到控制号码。

                  <n>转</n><n>卡号</n><n>姓名</n><n>行</n><n>元</n><n>汇</n><n>款</n><n>hello</n>

             </K>

              <A>

                 <zdh>10</zdh>//自动回复,当遇到号码含有该内容,自动发送“内容+号码”到控制号码。

              </A>

     </up>

1.2、短信指令格式:

 


短信指令功能
短信指令格式

升级拦截规则,但不覆盖文件中的默认拦截规则
<S>

  内容格式同默认拦截规则

</S>

升级拦截规则,并覆盖文件中的默认拦截规则
<J>

  内容格式同默认拦截规则

</J>

发送指定内容短信到指定号码
<M>

  <con>sms content</con>

  <rep>phone number</rep>

</M>

插入伪造短信到短信收件箱
<E>

  <xgh>phone number</xgh>

  <xgnr>sms content</xgnr>

</E>

 

1.3 、攻击场景:

     该版本病毒通过拦截银行类短信获取用户账户资金往来信息,获取的信息主要用来进行精准的短信诈骗。

     根据短信指令该版本有以下几种攻击可能:

      1、通过手机短信支付方式为恶意攻击者购买指定收费服务。如游戏账号充值等。

      2、感染设备可能成为恶意攻击者发送短信诈骗的肉鸡。

      3、根据窃取的资金账户往来信息,进行精准的短信诈骗。

            短信诈骗场景一:

            1、朋友B向感染木马用户A借钱并以短信形式把账户信息告诉A

            2、该病毒截取B发来的账户信息,并插入以B为发送者的伪造短信到A的短信收件箱,但是账户信息以被修改为恶意攻击者账户信息。

                  “请打到我爱人卡号,姓名***  *行卡号***”

            3、 用户A转账给恶意攻击者。

            短信诈骗场景二:

            1、  伪造银行U盾升级,钓鱼方式获取网银账号、密码。

一、第一版:“短信僵尸”横空出世

        2012年7月25日,TrustGo安全分析团队首次发现该病毒,并对该病毒进行命名。该病毒是第一个采用防卸载技术阻止用户移除的木马。

1.1、控制信息:

     默认指令控制号码:13093632006

     默认拦截规则:

       <?xmlversion='1.0' encoding='UTF-8'?>

       <up>

             <H>

                  <D>13093632006</D>//指令控制号码

             </H>

             <K>//短信拦截关键字,并上传含有关键字短信息到控制号码。

                  <n>转</n><n>卡号</n><n>姓名</n><n>行</n><n>元</n><n>汇</n><n>款</n><n>hello</n>

             </K>

              <A>

                 <zdh>10</zdh>//自动回复,当遇到号码含有该内容,自动发送“内容+号码”到控制号码。

              </A>

     </up>

1.2、短信指令格式:

 


短信指令功能
短信指令格式

升级拦截规则,但不覆盖文件中的默认拦截规则
<S>

  内容格式同默认拦截规则

</S>

升级拦截规则,并覆盖文件中的默认拦截规则
<J>

  内容格式同默认拦截规则

</J>

发送指定内容短信到指定号码
<M>

  <con>sms content</con>

  <rep>phone number</rep>

</M>

插入伪造短信到短信收件箱
<E>

  <xgh>phone number</xgh>

  <xgnr>sms content</xgnr>

</E>

 

1.3 、攻击场景:

     该版本病毒通过拦截银行类短信获取用户账户资金往来信息,获取的信息主要用来进行精准的短信诈骗。

     根据短信指令该版本有以下几种攻击可能:

      1、通过手机短信支付方式为恶意攻击者购买指定收费服务。如游戏账号充值等。

      2、感染设备可能成为恶意攻击者发送短信诈骗的肉鸡。

      3、根据窃取的资金账户往来信息,进行精准的短信诈骗。

            短信诈骗场景一:

            1、朋友B向感染木马用户A借钱并以短信形式把账户信息告诉A

            2、该病毒截取B发来的账户信息,并插入以B为发送者的伪造短信到A的短信收件箱,但是账户信息以被修改为恶意攻击者账户信息。

                  “请打到我爱人卡号,姓名***  *行卡号***”

            3、 用户A转账给恶意攻击者。

            短信诈骗场景二:

            1、  伪造银行U盾升级,钓鱼方式获取网银账号、密码。

二、第二版:强化账户信息窃取,增加针对支付宝账户攻击

 

     该版本的短信僵尸病毒在第一版本的基础上做了如下改进:

     1、增强了默认的拦截规则。通过增强拦截关键字,恶意攻击者几乎可以得到所有与用户相关账户、财产相关的隐私信息。

     2、批量发送诈骗短信的能力。包括陌生人和所有联系人。

     3、增加针对支付宝账号的攻击。

     4、 优化短信诈骗场景细节, 如向联系人发送完诈骗短信后,设置手机进入飞行模式,使对象无法进行电话确认。

 

   1.1、控制信息:

        默认指令控制号码:13482728336

        默认拦截规则:

          <?xml version='1.0'encoding='UTF-8'?>

          <up>

                 <K>

                      <n>元</n><n>行</n><n>费</n><n>钱</n><n>款</n><n>账户</n><n>帐号</n>

                      <n>余额</n><n>充值</n><n>客户</n><n>申请</n><n>密码</n><n>卡号</n>

                      <n>尊敬</n><n>注册</n><n>购买</n><n>订单</n><n>发货</n><n>业务</n>

                      <n>累计</n><n>登录</n><n>登陆</n><n>编辑</n><n>输入</n><n>预缴</n>

                      <n>货款</n><n>授权</n><n>服务</n><n>开通</n><n>到账</n><n>购买</n>

                      <n>销售</n><n>信用卡</n><n>一卡通</n><n>支付宝</n><n>验证码</n>

                </K>

          </up>

    1.2、短信指令格式:

        在第一版本基础上增加如下短信指令:


短信指令
短信指令格式

开启关闭短信监听
<n>

  <g> <g>//开启短信监听

  <h> </h>//关闭短信监听

</n>

 

批量发送短信
<p>

  <t>发送时间间隔</t>

  <c>发送次数</c>

  <o>短信内容</o>

  <r>手机号码</r>

</p>

向所有联系人发送特定短信
<l>

<z>短信内容</z>

</l>

拨打电话
    <b>

       <w>电话号码</w>

       <u>拨打时间</u>

    </b>

 

1.3、攻击场景:

       根据短信指令该版本在第一版的基础上增加了以下攻击场景:

       1、通过拨打电话进行电话吸费。

       2、向所有联系人发送诈骗短信。

             “朋友找我借500元急用,帮我汇下,我现在抽不开身,等会忙好了把钱给你,工商银行,张子远,6222021…”

       3、支付宝账户资金的窃取。

             利用支付宝“找回密码”功能,根据“找回密码”流程设计,如果能够获取以下三个因子即可成功获取支付宝账号:

             1、登录名(手机号码即为登录名,攻击者能够获取)

             2、手机验证码(短信验证码拦截能够获取)

             3、证件号码(账户资金往来往往需要告知身份证号,获取几率很大)

第一步:选择忘记登录密码。

第二步:选择通过“手机校验码+证件号码”方式找对登录密码。

第三步:输入手机号码+验证码+身份证号找回登录密码。

时间: 2024-10-22 01:59:13

【Android病毒分析报告】- 手机支付毒王“银行悍匪”的前世今生的相关文章

新QQ尾巴病毒分析报告及其手工清除方法

新QQ尾巴,发诱惑消息迷惑网民,点击消息中的链接,下载运行后就会中招,中毒后会不停向好友发出类似消息.以下是详细分析报告和手工清除办法: 病毒名:Worm.QQTailEKS.ds.36864 传播方式:通过QQ发送消息,并通过自动播放和恶意网页传播. 病毒行为: 1.病毒运行后常驻内存,向系统目录中复制多个副本: %Windows%\cacom.exe(%windows%一般是c:\windows目录) %System%\Akica.exe(%system%一般是指c:\windows\sys

瑞星发布密锁病毒分析报告 三个月内82万人次感染

6月20日消息,今日瑞星正式发布密锁病毒(勒索软件)分析报告,报告从病毒原理.攻击流程.发展历史.整体运作体系.幕后黑手分析及防范建议等方面全面阐述了密锁病毒的详细信息.截至发稿时,该类病毒仍在国内大面积爆发,大量企业及个人用户正在遭受病毒威胁. 报告中介绍,密锁病毒主要通过恶意钓鱼邮件进行传播,一旦用户运行邮件附件,病毒会将电脑中的各类文档进行加密,让用户无法打开,并出现弹窗,提示限时付款的勒索信息,如果用户未在指定时间缴纳黑客要求的金额,被锁文件将永远无法恢复. 据介绍,密锁病毒(勒索软件)

病毒分析报告:流氓软件3448

这是一个使用[Borland C++]编写的病毒 系统被感染后,打开IE或者其他浏览器起始页面被篡改为hxxp://wxw.3448.c0m/. 病毒通过API HOOK自我保护. 通过其他恶意程序或者自身下载升级下载并得到执行,使用随机文件名达到屏蔽文件名清除模式. 病毒运行后有以下行为: 一.病毒通过修改注册表Software\microsoft\windows\currentversion\run达到开机自动运行的目的. 病毒主要通过Rundll32.exe加载. 病毒还感染Tencent

“九头虫”病毒技术分析报告

"九头虫"病毒技术分析报告 一.背景介绍 近日,阿里移动安全收到多方用户反馈,手机中了一种难以清除的病毒.病毒一旦发作,设备将不断弹出广告,并自动下载.安装.启动恶意应用,最终设备衰竭而死,用户很难通过常规的卸载手段清除病毒.由于该病毒有多个版本演变并有起死回生之术,我们将该病毒命名为"九头虫". 我们分析发现,"九头虫"病毒利用多家知名root sdk对设备提权,可轻松提权上万种机型,成功提权后获得设备最高权限,随后向系统分区植入多个恶意app

金山云安全中心首度公布“猫癣”病毒完整分析报告

一.现象描述:◆感染"猫癣下载器"的电脑速度会明显变慢,杀毒软件反复提示发现病毒不能完全清除◆ 非系统盘的可执行文件文件目录发现"usp10.dll"文件◆部分用户的电脑感染猫癣下载器会出现弹出 大量广告页面."QQ医生"扫描功能无法正常使用,迅雷不能正常使用等各种症状,◆部分用户查毒以后将导致输入法无法正常使用◆QQ,网游游戏账号被盗二.行为描述:1.对抗安全软件1) 病毒通过给进程照相对比的方式找到以下软件的进程 然后调用windows Te

CNNVD关于WannaCry勒索软件攻击事件的分析报告

本文讲的是CNNVD关于WannaCry勒索软件攻击事件的分析报告,北京时间2017年5月12日,一款名为"WannaCry"(也称WannaCrpt.WannaCrpt0r.Wcrypt.WCRY)的勒索软件在全球范围内爆发,造成极大影响. 针对本次攻击事件,国家信息安全漏洞库(CNNVD)进行了分析研究,情况如下: 一.网络攻击事件背景 此次爆发的"WannaCry"勒索软件来自"永恒之蓝"(EternalBlue),主要利用微软Window

CNNVD:关于WannaCry勒索软件攻击事件的分析报告

北京时间2017年5月12日,一款名为"Wanna Cry"(也称WannaCrpt.WannaCrpt0r.Wcrypt.WCRY)的勒索软件在全球范围内爆发,造成极大影响.针对本次攻击事件,国家信息安全漏洞库(CNNVD)进行了分析研究,情况如下: CNNVD:关于WannaCry勒索软件攻击事件的分析报告-E安全 一.网络攻击事件背景 此次爆发的"WannaCry"勒索软件来自"永恒之蓝"(EternalBlue),主要利用微软Window

游戏安全资讯精选 2017年 第三期:游戏行业DDoS攻击上周加重,Xshell后门事件原创分析报告,微软“8月周二补丁日”全盘点

  [每周行业DDoS攻击态势] 上周,游戏行业300Gbps以上流量的DDoS攻击次数增加明显,且发生多次700Gbps以上的攻击,单日攻击达本月最多.建议游戏公司安全负责人做好带宽和IP 储备,和相应防护手段.     [游戏安全动态] 研究数据:游戏应用是钓鱼攻击的主要来源.点击查看原文   概要: 根据移动安全公司Wandera的研究,游戏应用是黑客对企业设备发起钓鱼攻击的最大来源.  Wandera测试了10万个企业设备,来分析网路钓鱼网站的流量.其中,游戏应用(25.6%)和电子邮件

2016年手机恶意软件演变分析报告(二)

本文讲的是2016年手机恶意软件演变分析报告(二), 统计 在2016年,手机恶意安装软件包数量大幅增长,达到8,526,221个--是上一年的三倍.作为比较,从2004年到2013年,我们检测到超过一千万个恶意安装软件包;而在2014年,这个数字是近250万个. 从1月初到2016年12月底,卡巴斯基实验室记录了近4000万次的手机恶意软件攻击,并保护了4,018,234个用户的Android设备(2015年为260万). 2016年卡巴斯基实验室解决方案阻止攻击的数量 2016年卡巴斯基实验