2015年06月29日 22:08 5268
回顾:
毕业季来临,学生成绩单一直是家长们关注的重点。阿里移动安全实验室之前发现一款伪装“成绩单”的恶意App应用,以短信的方式来诱骗学生家长们中招。更多详细信息可参看”伪装“成绩单”木马分析报告”。
而近日阿里钱盾发现一款伪装“学生成绩单”、“成绩单”的变种木马--代理人,来诱骗用户中招。
与往常的窃取短信木马不同,该“代理人”变种木马使用了更隐秘的传播方式--代理人,当用户安装木马后,木马不仅会把用户短信、联系人等敏感内容实时发送到远程服务器,还会通过接收不法分子的远程指令给其他用户发送带有木马链接的诱骗短信,而其他用户看到的带有木马链接的短信发送者却是前一个受害者,不法分子却隐藏在背后无人知晓。
一、木马概述
该木马的主要特点是:以安装该木马的受害人为代理人,木马开发者通过短信指令远程控制已种木马的该代理人手机给指定的号码发送恶意短信,如木马下载链接等,在朋友圈内恶意传播木马软件窃取隐私。隐藏在幕后的黑客在远程控制毫不知情的代理人;凡是被该木马控制的手机,用户隐私信息均被窃取,危害极大。
二、木马分析
2.1 该木马安装在手机上后的桌面图标及激活设备管理器的运行界面:
2.2 “代理人”木马同样会诱导用户激活设备管理器、激活之后隐藏桌面图标;这样就让用户放松了警惕,同时增加卸载的难度;以确保不发分子窃取用户隐私信息:
2.3 "代理人"木马安装成功后同样会以短信、上传到服务端两种方式,来提示黑客“服务启动”。
我们通过抓包工具对安装该木马的真机进行抓包分析,将抓包截图与代码截图分享如下:
2.4 该木马运行后会非法窃取手机用户的隐私信息,如:手机通讯录、短信收件箱、短信发件箱等隐私信息并回传到木马开发者指定的服务器:
2.4.1 该木马会非法窃取手机用户的短信收件箱的所有短信,并全部上传到木马开发者指定的服务器,供不法分子提取重要隐私信息以达到非法牟利:
2.4.2 该木马同样也会非法窃取短信发件箱的所有短信,并上传到木马开发者指定的服务器,以供木马开发者分析而进一步非法牟利:
2.4.3 该木马也会窃取用户的联系人,并且上传到远程服务端,给黑客提供进行发展下一个代理人的目标对象,黑客通过掌握的信息骗取受害者的钱财,同时借助受害者的信誉在其朋友圈招摇撞骗。
总之,该木马会非法窃取用户的隐私信息并回传到木马开发者指定的服务器,具体上传到服务端的代码逻辑截图如下:
2.5 不法分子通过短信指令进行远程操控安装该木马的用户,木马软件通过解析短信指令,提取指令中的手机号码和恶意短信,并拦截该条指令短信。然后再按照解析出的恶意短信内容,利用该代理人中木马病毒的手机发送到指令中指定的手机号码.该木马的恶意行为的特点在于通过被害人代理的方式发送包含木马下载链接的恶意短信、或者其它诈骗信息;不法分子既实现了保护自己、又提高诈骗、木马传播的成功率:
2.6 黑客通过该代理人木马实施非法牟利的逻辑流程图如下图所示:
三、总结:
此款木马特点是以受害人作为代理去发送短信链接的形式传播,会诱导用户去点击下载安装从而造成用户隐私泄露,存在极大的安全隐患。阿里钱盾团队提醒您,不要轻易点击短信中链接,特别是来自熟悉朋友发来的链接,以避免受到手机病毒的危害。此外,针对此类手机病毒,阿里钱盾已经实现完美阻断查杀。如下图所示:
本文来自合作伙伴“阿里聚安全”.