【Android病毒分析報告】- 手機支付毒王「銀行悍匪」的前世此生

from://http://blog.csdn.net/androidsecurity/article/details/18984165 android

2014年1月8日,央視曝光了一款名爲「銀行悍匪」的手機銀行木馬,該木馬高度模仿真正的手機銀行軟件,經過釣魚方式獲取用戶輸入的手機號、身份證號、銀行帳號、密碼等信息,並把這些信息上傳到黑客指定服務器。盜取銀行帳號密碼後,當即將用戶帳戶裏的資金轉走。數據庫

   百度安全實驗室第一時間對「銀行悍匪」手機木馬進行了分析。安全研究員發現其實該木馬是早前風靡一時的「短信殭屍」木馬的新變種。2012725,TrustGo安全分析團隊首次發現該病毒,並對其進行命名。該病毒採用了精妙的防卸載技術阻止用戶經過正常途徑卸載,並竊取用戶金融類短信息。安全

   經過對大量「短信殭屍「樣本的分析統計,安全研究員發現到目前爲止,「短信殭屍」病毒已經迭代到第四個版本,危害也愈來愈大。該病毒家族幾乎囊括了目前全部針對「用戶財產」的攻擊方法。包括短信詐騙、支付寶攻擊、財付通攻擊、手機銀行攻擊。雖然迭代升級了四個版本,可是該病毒家族自己的如下特製仍是一成不變的:服務器

   一、 母包+惡意子包的運行機制。優化

   二、 經過技術手段防止用戶經過正常途徑卸載。加密

   三、 以竊取用戶帳戶資金爲目的。spa

   四、 以短信做爲指令通道。.net

   該病毒主要有兩部分組成:設計

   一、 母包:檢測惡意子包是否安裝,若是設備沒有安裝惡意子包,則負責誘騙用戶安裝。惡意子包以圖片文件形式隱藏在assets目錄。安裝成功後,啓動惡意子包。3d

   二、 惡意子包:完成短信指令執行、防卸載等惡意行爲。

   母包工做原理以下:

 

 

   母包會啓動一個子包安裝檢測服務,每隔數秒檢測一次是否安裝惡意子包,若是未安裝惡意子包,則安裝檢測服務會不斷彈出該誘騙安裝界面。直到用戶妥協安裝惡意子包爲止。

   惡意子包工做原理及關鍵技術實現以下:

 

 

 

   1.一、強迫用戶激活設備管理器方式

        用戶若是選擇「取消」激活設備管理器,則繼續彈出激活界面,直到用戶妥協選擇「確認」爲止。

   

 

   1.二、程序防卸載方式:

 

         經過Logcat監聽日誌,當監控到用戶進入如下界面則跳轉到HOME界面:

         一、設置->應用程序->選擇惡意子包->應用程序信息

         二、 惡意子包程序卸載界面

         三、設備->安全->設備管理器

 

 

 

1、初版:「短信殭屍」橫空出世

        2012725,TrustGo安全分析團隊首次發現該病毒,並對該病毒進行命名。該病毒是第一個採用防卸載技術阻止用戶移除的木馬。

 

1.一、控制信息:

     默認指令控制號碼:13093632006

     默認攔截規則:

       <?xmlversion='1.0' encoding='UTF-8'?>

       <up>

             <H>

                  <D>13093632006</D>//指令控制號碼

             </H>

             <K>//短信攔截關鍵字,並上傳含有關鍵字短信息到控制號碼。

                  <n>轉</n><n>卡號</n><n>姓名</n><n>行</n><n>元</n><n>匯</n><n>款</n><n>hello</n>

             </K>

              <A>

                 <zdh>10</zdh>//自動回覆,當遇到號碼含有該內容,自動發送「內容+號碼」到控制號碼。

              </A>

     </up>

 

1.二、短信指令格式:

 

短信指令功能

短信指令格式

升級攔截規則,但不覆蓋文件中的默認攔截規則

<S>

  內容格式同默認攔截規則

</S>

升級攔截規則,並覆蓋文件中的默認攔截規則

<J>

  內容格式同默認攔截規則

</J>

發送指定內容短信到指定號碼

<M>

  <con>sms content</con>

  <rep>phone number</rep>

</M>

插入僞造短信到短信收件箱

<E>

  <xgh>phone number</xgh>

  <xgnr>sms content</xgnr>

</E>

 

1.3 、攻擊場景:

     該版本病毒經過攔截銀行類短信獲取用戶帳戶資金往來信息,獲取的信息主要用來進行精準的短信詐騙。

     根據短信指令該版本有如下幾種攻擊可能:

      一、經過手機短信支付方式爲惡意攻擊者購買指定收費服務。如遊戲帳號充值等。

      二、感染設備可能成爲惡意攻擊者發送短信詐騙的肉雞。

      三、根據竊取的資金帳戶往來信息,進行精準的短信詐騙。

            短信詐騙場景一:

            一、朋友B向感染木馬用戶A借錢並以短信形式把帳戶信息告訴A

            二、該病毒截取B發來的帳戶信息,並插入以B爲發送者的僞造短信到A的短信收件箱,可是帳戶信息以被修改成惡意攻擊者帳戶信息。

                  「請打到我愛人卡號,姓名***  *卡號***

            三、 用戶A轉帳給惡意攻擊者。

            短信詐騙場景二:

            一、  僞造銀行U盾升級,釣魚方式獲取網銀帳號、密碼。

 

 

2、第二版:強化帳戶信息竊取,增長針對支付寶帳戶攻擊

 

     該版本的短信殭屍病毒在初版本的基礎上作了以下改進:

     一、加強了默認的攔截規則。經過加強攔截關鍵字,惡意攻擊者幾乎能夠獲得全部與用戶相關帳戶、財產相關的隱私信息。

     二、批量發送詐騙短信的能力。包括陌生人和全部聯繫人。

     三、增長針對支付寶帳號的攻擊。

     四、 優化短信詐騙場景細節, 如向聯繫人發送完詐騙短信後,設置手機進入飛行模式,使對象沒法進行電話確認。

 

   1.一、控制信息:

        默認指令控制號碼:13482728336

        默認攔截規則:

          <?xml version='1.0'encoding='UTF-8'?>

          <up>

                 <K>

                      <n>元</n><n>行</n><n>費</n><n>錢</n><n>款</n><n>帳戶</n><n>賬號</n>

                      <n>餘額</n><n>充值</n><n>客戶</n><n>申請</n><n>密碼</n><n>卡號</n>

                      <n>尊敬</n><n>註冊</n><n>購買</n><n>訂單</n><n>發貨</n><n>業務</n>

                      <n>累計</n><n>登陸</n><n>登錄</n><n>編輯</n><n>輸入</n><n>預繳</n>

                      <n>貨款</n><n>受權</n><n>服務</n><n>開通</n><n>到帳</n><n>購買</n>

                      <n>銷售</n><n>信用卡</n><n>一卡通</n><n>支付寶</n><n>驗證碼</n>

                </K>

          </up>

 

    1.二、短信指令格式:

        在初版本基礎上增長以下短信指令:

 

短信指令

短信指令格式

開啓關閉短信監聽

<n>

  <g> <g>//開啓短信監聽

  <h> </h>//關閉短信監聽

</n>

 

批量發送短信

<p>

  <t>發送時間間隔</t>

  <c>發送次數</c>

  <o>短信內容</o>

  <r>手機號碼</r>

</p>

向全部聯繫人發送特定短信

<l>

<z>短信內容</z>

</l>

撥打電話

    <b>

       <w>電話號碼</w>

       <u>撥打時間</u>

    </b>

 

1.三、攻擊場景:

       根據短信指令該版本在初版的基礎上增長了如下攻擊場景:

       一、經過撥打電話進行電話吸費。

       二、向全部聯繫人發送詐騙短信。

             「朋友找我借500元急用,幫我匯下,我如今抽不開身,等會忙好了把錢給你,工商銀行,張子遠,6222021…」

       三、支付寶帳戶資金的竊取。

             利用支付寶「找回密碼」功能,根據「找回密碼」流程設計,若是可以獲取如下三個因子便可成功獲取支付寶帳號:

             一、登陸名(手機號碼即爲登陸名,攻擊者可以獲取)

             二、手機驗證碼(短信驗證碼攔截可以獲取)

             三、證件號碼(帳戶資金往來每每須要告知身份證號,獲取概率很大)

 

第一步:選擇忘記登陸密碼。

 

 

第二步:選擇經過「手機校驗碼+證件號碼」方式找對登陸密碼。

 

 

第三步:輸入手機號碼+驗證碼+身份證號找回登陸密碼。

 

 

 

3、第三版:加強代碼安全性,增長針對財付通帳戶的攻擊

 

      該版本的短信殭屍病毒在第二版本的基礎上作了以下改進:

       一、關鍵信息的安全性。

             默認攔截規則和默認短信指令控制號碼都經過加密的方式存放。

       二、安全軟件攻防。

             當用戶設備已Root狀況下,該病毒會請求獲取root權限,而後靜默卸載安全軟件。

             

       三、聯繫人信息的竊取,並可對單個聯繫人進行精準短信詐騙。

       四、增長對財付通帳號資金竊取。

 

     1.一、控制信息:

          默認指令控制號碼:15614026801

          以AES加密:解密後爲15614026801

 

           

 

 

       默認攔截規則:

       以數據庫形式AES加密後存儲。

 

  

 

     解密後的攔截關鍵字密文明文對應關係以下:

     0a1f1738f53c1c71dc30bfbb69b11e1d-->受權

     0dd29d45780a5ef2a585cefe3e0d09d5-->信用卡

     1f6b8db4cb71802bf901f7a121b9d704-->qq

     2d6164c4aecf53e144b025177f75f00c-->驗證碼

     2ea3e530a3dadebab16211c2580a92b0-->發貨

     5be4bf625d7f08110b92a3e366d48293-->登陸

     6b7478ac11843d5bd292660aa98c4ca7-->編輯

     7cdd9cc73d920413ebef3ec7f9f0b6ea-->登錄

     9af274a3dc74f0188494e2c31c3c3510-->充值

     09c16e2b89bc9dc785dc566e0cc73983-->訂單

     21c4b3fa8361f7aef91615d93e2a6358-->卡號

     32d5db9586ca676e73c509877becf4d5-->銷售

     59f6d5511a18c4f77d151e1f66487650-->元

     68b8f5b4e9c5e41e076b0ee41136dbae-->註冊

     119f09d65da3de2fa322124ab14b75b0-->餘額

     182e46277e59522d3908807a420ac979-->購買

     182e46277e59522d3908807a420ac979-->購買

     365e1df4026d042f116c5dc94ea22a0b-->業務

     482c7bd438166ba6e3ab0d84e95a5d48-->尊敬

     929edb3b2bd13f943671c35c8f6cab13-->帳戶

     955d14c0d5f183b287ea07bdf68e781a-->申請

     4338c555087f1b697d24863c3238d6aa-->行

     5290d12800e93fc3b55806227d670e10-->錢

     067623a985b2389a5fc2f0143c3df77d-->財付通

     0032784482c06dd176a3dc11980c2483-->開通

     a2f3eae4bab0406ec39d79d17c7fd88a-->款

     a3be950fb4c10d51732a163bc079cf05-->累計

     a6968790a4f4b0e06c376e9c7753a37a-->客戶

     b77b7262fcf726017fe4a26e5db6051b-->服務

     c7d516d70cfb788ce5abe81344994fe2-->QQ

     c2950665754568ccad81f2a460938a4a-->費

     cbf8ef2c60269aaee434a4017faed52b-->到帳

     d37d954e3083e4652f045e88ab2d80d6-->密碼

     d72182d17e5a44722badcc3c95ddd37a-->賬號

     dfbc94359470cdce7c747cfc868ec7c7-->支付寶

     e07b4b7fe90df0b72e4596e4dbb8a47a-->一卡通

     ed99794a8c69501b1b3cdbf4fb9340d5-->輸入

     fbbac81ac4e247763050495a180c93c7-->預繳

 

    1.二、短信指令格式:

 

        在第二版本基礎上增長以下短信指令:

短信指令

短信指令格式

竊取聯繫人信息

<k>

</k>

 竊取數據格式:id1'name1:phonenumber1; id2'name2:phonenumber2;

向特定id聯繫人發送特定短信

<i>

  <d>id1'id2'id3</d>

  <f>短信內容</f>

</i>

 

    1.3     攻擊場景:

         在第二版本的基礎上增長了如下攻擊場景:

          一、向特定聯繫人發送詐騙短信。

          二、增長對財付通帳號資金竊取。

         整個攻擊流程以下:

  第一步:登陸財付通首頁,並選擇「忘記密碼」

(由登陸頁可知,財付通帳號可使用QQ\手機號碼\Email)

 

 

 

第二步:選擇忘記QQ密碼,點擊「當即找回」

 

 

 

第三步:帳號輸入感染設備的手機號。帳號類型選擇「帳號密碼」,輸入驗證碼後,選擇下一步

 

 

 

 

第四步:選擇短信找回密碼。

 

 

 

第五步:惡意攻擊者發送短信指令,令感染設備發送指定短信到1065755802381,這樣就能夠從新設備QQ密碼。

                該處含有一個關鍵的漏洞:輸入手機號後經過頁面能夠獲取到該手機號綁定的QQ號碼。QQ號碼是財付通登陸用戶名。

 


 

 

第六步:輸入第五步獲取到的QQ號碼和經過短信設置的新密碼登陸財付通。

 

 

 

 

若是財付通帳號設置了二次登陸密碼。還須要另外作以下操做:

 

第七步:選擇忘記二次登陸密碼

 

 

 

第八步:輸入綁定的手機號碼,即感染設備手機號碼

 

 

 

第九步:輸入木馬攔截到的短信驗證碼,並設置新的二次登陸密碼。

 

 

 

整個財付通帳號竊取流程就完成了。

 

4、第四版:蛻變爲「銀行悍匪」,增長針對手機銀行攻擊。

 

   短信殭屍第四版在保留了第三版本功能的基礎上,增長了針對幾十家銀行、淘寶手機客戶端的「釣魚」攻擊。短信僵死也蛻變成了「銀行悍匪」。根據百度安全實驗室的病毒檢測數據代表,隨着手機支付、手機購物的流行,這種針對銀行、網購類客戶端的「釣魚」攻擊方式開始頻繁出現,給用戶的帳戶財產安全帶來了很大的隱患。

  「銀行悍匪」病毒針對以下銀行:

   農業銀行、招商銀行、廣發銀行、興業銀行、郵儲銀行、南京銀行、中信銀行、光大銀行、民生銀行、浦發銀行、平安銀行、廣州農商銀行、重慶銀行、中國銀行、華夏銀 行、湖州銀行、上海銀行、青島銀行、泰隆銀行、四川銀行、杭州銀行、崑崙銀行。

以上銀行使用相同的「釣魚界面」,並根據用戶打開銀行客戶端的不一樣,修改成相應銀行Title。

 

 

 

 

病毒做者爲中國工商銀行、中國建設銀行、交通銀行、手機淘寶專門定製了高仿真「釣魚界面」。

 

 

 

 

手機銀行客戶端釣魚流程以下:

 

 

 

 總結:

  從該病毒家族的迭代升級路線,咱們能夠看出,隨着移動互聯網和Android智能手機的發展,Android手機用戶面臨的手機安全問題愈發嚴重,短信吸費、電話吸費、短信詐騙和金融帳戶安全將時刻困擾着用戶。

相關文章
相關標籤/搜索