仿冒QQ空间的木马分析报告


发布人:admin分类:网络安全浏览量:24发布时间:2017-12-12

近日,阿里移动安全实验室截获一款仿冒QQ空间的木马软件。该木马软件高度仿冒QQ空间网页版,安装后可以正常进入QQ空间查看动态,但其启动后就隐藏桌面图标,拦截用户的所有短信并转发给指定的号码,获取联系人并给所有的亲人朋友发送一条附带链接的短信,诱导用户下载安装,当用户收到短信点击下载该仿冒软件并安装后,又会再次向其所有的联系人发送带木马链接的短信,从而使该木马具有极强的传播性。

一.木马概述

该木马通过仿冒QQ空间应用诱骗用户安装,拦截用户短信并转发给指定号码,同时给家人和好友发送含木马下载地址的短信,具备极强的欺骗性,且木马本身只有33KB,体积小,易于传播,下载地址和接收用户短信的号码也有多个,以防止服务器和号码被封杀。截至目前,该木马已经感染56807个用户,且传播行为还在继续,建议用户谨慎防范。

二.木马行为分析

2.1 收到好友短信

安装了该木马应用的手机会给其通讯录好友发送短信,短信内容诱导用户点击木马下载链接,因为短信来自好友,接收者容易降低警惕性实施进一步的操作。

  

2.2 下载木马APP

  

2.3 安装木马APP

木马应用下载到手机之后,用户点击安装,此后木马应用便获得了转发短信息、读取用户通讯录、发送短信等权限。

  

2.4 登录QQ空间

木马应用安装成功后,用户打开应用,看到的是与QQ空间一样的登录界面,用户完全无法感知它其实是个仿冒应用。

  

2.5 展示QQ空间动态

用户登录后,可以查看到其QQ空间的相关动态,内容也是真实的,以此混淆用户。

  


三. 木马的技术分析

3.1 安装后通知

木马启动后在桌面隐藏图标,以免用户发觉,并第一时间向指定的号码发送安装成功的短信,通知不法分子。

  

3.2 批量发送木马短信

木马读取用户通讯录联系人并批量发送短信,短信内容为:在忙什么呢,这是以前我们的一些合影照,里面有认识你的人哦,有空看看 t.cn/R2***J3,该链接地址即为木马的下载地址。

  

3.3 拦截用户短信

木马会把接收到的用户短信和电话号码转发给指定号码,收集用户个人信息,以备进行更多的可能的欺诈行为。

  


四.总结

该木马仿冒QQ空间应用,其启动界面和登录后所呈现的内容与正版QQ空间极其相似,极容易迷惑用户,因木马给好友群发短信的行为使其具备很强的传播特点,且拦截转发用户短信,上报用户好友手机号等信息,对用户造成的潜在危害巨大。阿里移动安全团队提醒用户一定要在正规应用市场和官方网站下载安装应用,并建议用户使用手机安全软件如阿里钱盾定期对手机体检和杀毒,如果检测出该木马,建议第一时间更改相关密码,包括银行卡等各种支付密码。

目前阿里钱盾已实现该病毒的查杀:

  

                           

*作者:阿里移动安全(企业账号),转载需注明来自FreeBuf黑客与极客(FreeBuf.COM)


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21204672(PV) 页面执行时间:77.004(MS)
  • xml
  • 网站地图