揭秘:针对中国移动用户的强大网银木马剖析


发布人:admin分类:网络安全浏览量:24发布时间:2017-12-12

我们最近遇到一个安卓平台的网银木马,该木马主要瞄向中国的移动用户,检出率很低。该安卓木马能够拦截短信并寻找特定的关键字,盗取用户网银信息。此外,它还会从用户的移动设备中盗取所有的联系人信息,并将其发送到远程服务器。

木马相关信息

名字:888.apk

MD5:ff081c1400a948f2bcc4952fed2c818b。

VT:7/56  (分析该木马时) 

样本:点我下载

木马功能:

1、拦截和捕获所有接收和发出的短信
2、拦截来电和结束通话的功能
3、通过短信接收C&C服务器指令
4、将盗取的数据通过短信、电子邮件、web请求发送到C&C服务器

代码级功能分析

下面就让我们一起分析下该木马的特征和功能实现:

0×01 捕获邮箱和手机号

在上面的截图中,可以看到,该木马将捕获的出站短信通过电子邮件发送到硬编码的163. Com邮箱地址。它将盗取的数据以“发给xxx的短信”为主题发送出去。

在这里,可以看到它将捕获到的入站短信以同样的参数用邮件发送到指定邮箱。此外,它还将同样的信息通过短信发送到一个硬编码的中国手机号码“15996581524”。

0×02 电话拦截

上图显示了该木马具有拦截来电的功能,并能够将来电号码以主题为“拨打进来的一次来电!”的邮件发送出去,而且它还有挂断电话的功能。

0×03 远程控制

该木马还能够通过短信接收C&C服务器发送的指令,该指令由木马作者远程发送。

在上面的截图中可以看到,攻击者可以通过短信发送指令“intercept#”来开始数据的捕获行为,还能够通过短信发送指令“interceptstop#”来停止捕获行为。

在上面的截图中我们可以看到,与网银交易有关的地方都做了字符串检测处理,它可以检测如“支付”、”校验”、”银行”、“余额”、“验证”的字符串,这很明显地表明木马的作者意图嗅探与网银相关的信息。

恶意软件将短信接收器和拨出电话服务的优先级设置为高优先级,这将确保当这些事件发生时,该木马比其他应用拥有更高的处理优先权。

0×04 请求发送

从上图中我们也能看到一些代码,这些代码能够确保该木马将盗取的联系人信息和短信数据通过Web请求的方式发送出去。

然而,在当前版本的木马中,这个功能似乎并不起作用……我们猜测可能是木马的作者仍旧在测试这个功能。

"http://192.168.1.102/input/input_data_get_contact.asp?user=XXX&pwd=XXXX&addr="

"http://192.168.1.102/input/input_data_get_sms.asp?user=XXX&pwd=XXX&addr=XXX&id=XXX"

木马窃取信息截图

下面的截图只是一个示例,显示木马的作者通过该恶意APK从感染用户那里捕获隐私信息。

1、发送邮件

2、拦截呼入电话

3、窃取联系人信息

4、受感染的中国移动用户

经过上面的一系列描述,我们已经可以看到这款移动平台的网银盗窃木马的威力。鉴于木马往往升级频繁,逃避查杀的能力也会与日俱增。我们相信未来,木马对抗将面临更大的挑战。

[参考来源research.zscaler,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21214355(PV) 页面执行时间:121.943(MS)
  • xml
  • 网站地图