【Android病毒分析報告】- 手機支付毒王「銀行悍匪」的前世此生

from：//http://blog.csdn.net/androidsecurity/article/details/18984165 

2014年1月8日，央視曝光了一款名爲「銀行悍匪」的手機銀行木馬，該木馬高度模仿真正的手機銀行軟件，經過釣魚方式獲取用戶輸入的手機號、身份證號、銀行帳號、密碼等信息，並把這些信息上傳到黑客指定服務器。盜取銀行帳號密碼後，當即將用戶帳戶裏的資金轉走。

   百度安全實驗室第一時間對「銀行悍匪」手機木馬進行了分析。安全研究員發現其實該木馬是早前風靡一時的「短信殭屍」木馬的新變種。2012年7月25日，TrustGo安全分析團隊首次發現該病毒，並對其進行命名。該病毒採用了精妙的防卸載技術阻止用戶經過正常途徑卸載，並竊取用戶金融類短信息。

   經過對大量「短信殭屍「樣本的分析統計，安全研究員發現到目前爲止，「短信殭屍」病毒已經迭代到第四個版本，危害也愈來愈大。該病毒家族幾乎囊括了目前全部針對「用戶財產」的攻擊方法。包括短信詐騙、支付寶攻擊、財付通攻擊、手機銀行攻擊。雖然迭代升級了四個版本，可是該病毒家族自己的如下特製仍是一成不變的：

   一、 母包+惡意子包的運行機制。

   二、 經過技術手段防止用戶經過正常途徑卸載。

   三、 以竊取用戶帳戶資金爲目的。

   四、 以短信做爲指令通道。

   該病毒主要有兩部分組成：

   一、 母包：檢測惡意子包是否安裝，若是設備沒有安裝惡意子包，則負責誘騙用戶安裝。惡意子包以圖片文件形式隱藏在assets目錄。安裝成功後，啓動惡意子包。

   二、 惡意子包：完成短信指令執行、防卸載等惡意行爲。

   母包工做原理以下：

 

 

   母包會啓動一個子包安裝檢測服務，每隔數秒檢測一次是否安裝惡意子包，若是未安裝惡意子包，則安裝檢測服務會不斷彈出該誘騙安裝界面。直到用戶妥協安裝惡意子包爲止。

   惡意子包工做原理及關鍵技術實現以下：

 

 

 

   1.一、強迫用戶激活設備管理器方式

        用戶若是選擇「取消」激活設備管理器，則繼續彈出激活界面，直到用戶妥協選擇「確認」爲止。

   

 

   1.二、程序防卸載方式：

 

         經過Logcat監聽日誌，當監控到用戶進入如下界面則跳轉到HOME界面：

         一、設置->應用程序->選擇惡意子包->應用程序信息

         二、 惡意子包程序卸載界面

         三、設備->安全->設備管理器

 

 

 

1、初版：「短信殭屍」橫空出世

        2012年7月25日，TrustGo安全分析團隊首次發現該病毒，並對該病毒進行命名。該病毒是第一個採用防卸載技術阻止用戶移除的木馬。

 

1.一、控制信息：

     默認指令控制號碼：13093632006

     默認攔截規則：

       <?xmlversion='1.0' encoding='UTF-8'?>

       <up>

             <H>

                  <D>13093632006</D>//指令控制號碼

             </H>

             <K>//短信攔截關鍵字，並上傳含有關鍵字短信息到控制號碼。

                  <n>轉</n><n>卡號</n><n>姓名</n><n>行</n><n>元</n><n>匯</n><n>款</n><n>hello</n>

             </K>

              <A>

                 <zdh>10</zdh>//自動回覆，當遇到號碼含有該內容，自動發送「內容+號碼」到控制號碼。

              </A>

     </up>

 

1.二、短信指令格式：

 

短信指令功能	短信指令格式
升級攔截規則，但不覆蓋文件中的默認攔截規則	<S>   內容格式同默認攔截規則 </S>
升級攔截規則，並覆蓋文件中的默認攔截規則	<J>   內容格式同默認攔截規則 </J>
發送指定內容短信到指定號碼	<M>   <con>sms content</con>   <rep>phone number</rep> </M>
插入僞造短信到短信收件箱	<E>   <xgh>phone number</xgh>   <xgnr>sms content</xgnr> </E>

 

1.3 、攻擊場景：

     該版本病毒經過攔截銀行類短信獲取用戶帳戶資金往來信息，獲取的信息主要用來進行精準的短信詐騙。

     根據短信指令該版本有如下幾種攻擊可能：

      一、經過手機短信支付方式爲惡意攻擊者購買指定收費服務。如遊戲帳號充值等。

      二、感染設備可能成爲惡意攻擊者發送短信詐騙的肉雞。

      三、根據竊取的資金帳戶往來信息，進行精準的短信詐騙。

            短信詐騙場景一：

            一、朋友B向感染木馬用戶A借錢並以短信形式把帳戶信息告訴A

            二、該病毒截取B發來的帳戶信息，並插入以B爲發送者的僞造短信到A的短信收件箱，可是帳戶信息以被修改成惡意攻擊者帳戶信息。

                  「請打到我愛人卡號，姓名***  *行卡號***」

            三、 用戶A轉帳給惡意攻擊者。

            短信詐騙場景二：

            一、  僞造銀行U盾升級，釣魚方式獲取網銀帳號、密碼。

 

 

2、第二版：強化帳戶信息竊取，增長針對支付寶帳戶攻擊

 

     該版本的短信殭屍病毒在初版本的基礎上作了以下改進：

     一、加強了默認的攔截規則。經過加強攔截關鍵字，惡意攻擊者幾乎能夠獲得全部與用戶相關帳戶、財產相關的隱私信息。

     二、批量發送詐騙短信的能力。包括陌生人和全部聯繫人。

     三、增長針對支付寶帳號的攻擊。

     四、 優化短信詐騙場景細節, 如向聯繫人發送完詐騙短信後，設置手機進入飛行模式，使對象沒法進行電話確認。

 

   1.一、控制信息：

        默認指令控制號碼：13482728336

        默認攔截規則：

          <?xml version='1.0'encoding='UTF-8'?>

          <up>

                 <K>

                      <n>元</n><n>行</n><n>費</n><n>錢</n><n>款</n><n>帳戶</n><n>賬號</n>

                      <n>餘額</n><n>充值</n><n>客戶</n><n>申請</n><n>密碼</n><n>卡號</n>

                      <n>尊敬</n><n>註冊</n><n>購買</n><n>訂單</n><n>發貨</n><n>業務</n>

                      <n>累計</n><n>登陸</n><n>登錄</n><n>編輯</n><n>輸入</n><n>預繳</n>

                      <n>貨款</n><n>受權</n><n>服務</n><n>開通</n><n>到帳</n><n>購買</n>

                      <n>銷售</n><n>信用卡</n><n>一卡通</n><n>支付寶</n><n>驗證碼</n>

                </K>

          </up>

 

    1.二、短信指令格式：

        在初版本基礎上增長以下短信指令：

 

短信指令	短信指令格式
開啓關閉短信監聽	<n>   <g> <g>//開啓短信監聽   <h> </h>//關閉短信監聽 </n>
批量發送短信	<p>   <t>發送時間間隔</t>   <c>發送次數</c>   <o>短信內容</o>   <r>手機號碼</r> </p>
向全部聯繫人發送特定短信	<l> <z>短信內容</z> </l>
撥打電話	<b>        <w>電話號碼</w>        <u>撥打時間</u>     </b>

 

1.三、攻擊場景：

       根據短信指令該版本在初版的基礎上增長了如下攻擊場景：

       一、經過撥打電話進行電話吸費。

       二、向全部聯繫人發送詐騙短信。

             「朋友找我借500元急用，幫我匯下，我如今抽不開身，等會忙好了把錢給你，工商銀行，張子遠，6222021…」

       三、支付寶帳戶資金的竊取。

             利用支付寶「找回密碼」功能，根據「找回密碼」流程設計，若是可以獲取如下三個因子便可成功獲取支付寶帳號：

             一、登陸名（手機號碼即爲登陸名，攻擊者可以獲取）

             二、手機驗證碼（短信驗證碼攔截可以獲取）

             三、證件號碼（帳戶資金往來每每須要告知身份證號，獲取概率很大）

 

第一步：選擇忘記登陸密碼。

 

 

第二步：選擇經過「手機校驗碼+證件號碼」方式找對登陸密碼。

 

 

第三步：輸入手機號碼+驗證碼+身份證號找回登陸密碼。

 

 

 

3、第三版：加強代碼安全性，增長針對財付通帳戶的攻擊

 

      該版本的短信殭屍病毒在第二版本的基礎上作了以下改進：

       一、關鍵信息的安全性。

             默認攔截規則和默認短信指令控制號碼都經過加密的方式存放。

       二、安全軟件攻防。

             當用戶設備已Root狀況下，該病毒會請求獲取root權限，而後靜默卸載安全軟件。

             

       三、聯繫人信息的竊取，並可對單個聯繫人進行精準短信詐騙。

       四、增長對財付通帳號資金竊取。

 

     1.一、控制信息：

          默認指令控制號碼：15614026801

          以AES加密：解密後爲15614026801

 

           

 

 

       默認攔截規則：

       以數據庫形式AES加密後存儲。

 

  

 

     解密後的攔截關鍵字密文明文對應關係以下：

     0a1f1738f53c1c71dc30bfbb69b11e1d-->受權

     0dd29d45780a5ef2a585cefe3e0d09d5-->信用卡

     1f6b8db4cb71802bf901f7a121b9d704-->qq

     2d6164c4aecf53e144b025177f75f00c-->驗證碼

     2ea3e530a3dadebab16211c2580a92b0-->發貨

     5be4bf625d7f08110b92a3e366d48293-->登陸

     6b7478ac11843d5bd292660aa98c4ca7-->編輯

     7cdd9cc73d920413ebef3ec7f9f0b6ea-->登錄

     9af274a3dc74f0188494e2c31c3c3510-->充值

     09c16e2b89bc9dc785dc566e0cc73983-->訂單

     21c4b3fa8361f7aef91615d93e2a6358-->卡號

     32d5db9586ca676e73c509877becf4d5-->銷售

     59f6d5511a18c4f77d151e1f66487650-->元

     68b8f5b4e9c5e41e076b0ee41136dbae-->註冊

     119f09d65da3de2fa322124ab14b75b0-->餘額

     182e46277e59522d3908807a420ac979-->購買

     182e46277e59522d3908807a420ac979-->購買

     365e1df4026d042f116c5dc94ea22a0b-->業務

     482c7bd438166ba6e3ab0d84e95a5d48-->尊敬

     929edb3b2bd13f943671c35c8f6cab13-->帳戶

     955d14c0d5f183b287ea07bdf68e781a-->申請

     4338c555087f1b697d24863c3238d6aa-->行

     5290d12800e93fc3b55806227d670e10-->錢

     067623a985b2389a5fc2f0143c3df77d-->財付通

     0032784482c06dd176a3dc11980c2483-->開通

     a2f3eae4bab0406ec39d79d17c7fd88a-->款

     a3be950fb4c10d51732a163bc079cf05-->累計

     a6968790a4f4b0e06c376e9c7753a37a-->客戶

     b77b7262fcf726017fe4a26e5db6051b-->服務

     c7d516d70cfb788ce5abe81344994fe2-->QQ

     c2950665754568ccad81f2a460938a4a-->費

     cbf8ef2c60269aaee434a4017faed52b-->到帳

     d37d954e3083e4652f045e88ab2d80d6-->密碼

     d72182d17e5a44722badcc3c95ddd37a-->賬號

     dfbc94359470cdce7c747cfc868ec7c7-->支付寶

     e07b4b7fe90df0b72e4596e4dbb8a47a-->一卡通

     ed99794a8c69501b1b3cdbf4fb9340d5-->輸入

     fbbac81ac4e247763050495a180c93c7-->預繳

 

    1.二、短信指令格式：

 

        在第二版本基礎上增長以下短信指令：

短信指令	短信指令格式
竊取聯繫人信息	<k> </k>  竊取數據格式：id1'name1:phonenumber1; id2'name2:phonenumber2;
向特定id聯繫人發送特定短信	<i>   <d>id1'id2'id3</d>   <f>短信內容</f> </i>

 

    1.3     攻擊場景：

         在第二版本的基礎上增長了如下攻擊場景：

          一、向特定聯繫人發送詐騙短信。

          二、增長對財付通帳號資金竊取。

         整個攻擊流程以下：

  第一步：登陸財付通首頁，並選擇「忘記密碼」

（由登陸頁可知，財付通帳號可使用QQ\手機號碼\Email）

 

 

 

第二步：選擇忘記QQ密碼，點擊「當即找回」

 

 

 

第三步：帳號輸入感染設備的手機號。帳號類型選擇「帳號密碼」，輸入驗證碼後，選擇下一步

 

 

 

 

第四步：選擇短信找回密碼。

 

 

 

第五步：惡意攻擊者發送短信指令，令感染設備發送指定短信到1065755802381，這樣就能夠從新設備QQ密碼。

                該處含有一個關鍵的漏洞：輸入手機號後經過頁面能夠獲取到該手機號綁定的QQ號碼。QQ號碼是財付通登陸用戶名。

 

 

 

第六步：輸入第五步獲取到的QQ號碼和經過短信設置的新密碼登陸財付通。

 

 

 

 

若是財付通帳號設置了二次登陸密碼。還須要另外作以下操做：

 

第七步：選擇忘記二次登陸密碼

 

 

 

第八步：輸入綁定的手機號碼，即感染設備手機號碼

 

 

 

第九步：輸入木馬攔截到的短信驗證碼，並設置新的二次登陸密碼。

 

 

 

整個財付通帳號竊取流程就完成了。

 

4、第四版：蛻變爲「銀行悍匪」,增長針對手機銀行攻擊。

 

   短信殭屍第四版在保留了第三版本功能的基礎上，增長了針對幾十家銀行、淘寶手機客戶端的「釣魚」攻擊。短信僵死也蛻變成了「銀行悍匪」。根據百度安全實驗室的病毒檢測數據代表，隨着手機支付、手機購物的流行，這種針對銀行、網購類客戶端的「釣魚」攻擊方式開始頻繁出現，給用戶的帳戶財產安全帶來了很大的隱患。

  「銀行悍匪」病毒針對以下銀行：

   農業銀行、招商銀行、廣發銀行、興業銀行、郵儲銀行、南京銀行、中信銀行、光大銀行、民生銀行、浦發銀行、平安銀行、廣州農商銀行、重慶銀行、中國銀行、華夏銀 行、湖州銀行、上海銀行、青島銀行、泰隆銀行、四川銀行、杭州銀行、崑崙銀行。

以上銀行使用相同的「釣魚界面」，並根據用戶打開銀行客戶端的不一樣，修改成相應銀行Title。

 

 

 

 

病毒做者爲中國工商銀行、中國建設銀行、交通銀行、手機淘寶專門定製了高仿真「釣魚界面」。

 

 

 

 

手機銀行客戶端釣魚流程以下：

 

 

 

 總結：

  從該病毒家族的迭代升級路線，咱們能夠看出，隨着移動互聯網和Android智能手機的發展，Android手機用戶面臨的手機安全問題愈發嚴重，短信吸費、電話吸費、短信詐騙和金融帳戶安全將時刻困擾着用戶。