from://http://blog.csdn.net/androidsecurity/article/details/18984165 android
2014年1月8日,央視曝光了一款名爲「銀行悍匪」的手機銀行木馬,該木馬高度模仿真正的手機銀行軟件,經過釣魚方式獲取用戶輸入的手機號、身份證號、銀行帳號、密碼等信息,並把這些信息上傳到黑客指定服務器。盜取銀行帳號密碼後,當即將用戶帳戶裏的資金轉走。數據庫
百度安全實驗室第一時間對「銀行悍匪」手機木馬進行了分析。安全研究員發現其實該木馬是早前風靡一時的「短信殭屍」木馬的新變種。2012年7月25日,TrustGo安全分析團隊首次發現該病毒,並對其進行命名。該病毒採用了精妙的防卸載技術阻止用戶經過正常途徑卸載,並竊取用戶金融類短信息。安全
經過對大量「短信殭屍「樣本的分析統計,安全研究員發現到目前爲止,「短信殭屍」病毒已經迭代到第四個版本,危害也愈來愈大。該病毒家族幾乎囊括了目前全部針對「用戶財產」的攻擊方法。包括短信詐騙、支付寶攻擊、財付通攻擊、手機銀行攻擊。雖然迭代升級了四個版本,可是該病毒家族自己的如下特製仍是一成不變的:服務器
一、 母包+惡意子包的運行機制。優化
二、 經過技術手段防止用戶經過正常途徑卸載。加密
三、 以竊取用戶帳戶資金爲目的。spa
四、 以短信做爲指令通道。.net
該病毒主要有兩部分組成:設計
一、 母包:檢測惡意子包是否安裝,若是設備沒有安裝惡意子包,則負責誘騙用戶安裝。惡意子包以圖片文件形式隱藏在assets目錄。安裝成功後,啓動惡意子包。3d
二、 惡意子包:完成短信指令執行、防卸載等惡意行爲。
母包工做原理以下:
母包會啓動一個子包安裝檢測服務,每隔數秒檢測一次是否安裝惡意子包,若是未安裝惡意子包,則安裝檢測服務會不斷彈出該誘騙安裝界面。直到用戶妥協安裝惡意子包爲止。
惡意子包工做原理及關鍵技術實現以下:
1.一、強迫用戶激活設備管理器方式
用戶若是選擇「取消」激活設備管理器,則繼續彈出激活界面,直到用戶妥協選擇「確認」爲止。
1.二、程序防卸載方式:
經過Logcat監聽日誌,當監控到用戶進入如下界面則跳轉到HOME界面:
一、設置->應用程序->選擇惡意子包->應用程序信息
二、 惡意子包程序卸載界面
三、設備->安全->設備管理器
1、初版:「短信殭屍」橫空出世
2012年7月25日,TrustGo安全分析團隊首次發現該病毒,並對該病毒進行命名。該病毒是第一個採用防卸載技術阻止用戶移除的木馬。
1.一、控制信息:
默認指令控制號碼:13093632006
默認攔截規則:
<?xmlversion='1.0' encoding='UTF-8'?>
<up>
<H>
<D>13093632006</D>//指令控制號碼
</H>
<K>//短信攔截關鍵字,並上傳含有關鍵字短信息到控制號碼。
<n>轉</n><n>卡號</n><n>姓名</n><n>行</n><n>元</n><n>匯</n><n>款</n><n>hello</n>
</K>
<A>
<zdh>10</zdh>//自動回覆,當遇到號碼含有該內容,自動發送「內容+號碼」到控制號碼。
</A>
</up>
1.二、短信指令格式:
短信指令功能 |
短信指令格式 |
升級攔截規則,但不覆蓋文件中的默認攔截規則 |
<S> 內容格式同默認攔截規則 </S> |
升級攔截規則,並覆蓋文件中的默認攔截規則 |
<J> 內容格式同默認攔截規則 </J> |
發送指定內容短信到指定號碼 |
<M> <con>sms content</con> <rep>phone number</rep> </M> |
插入僞造短信到短信收件箱 |
<E> <xgh>phone number</xgh> <xgnr>sms content</xgnr> </E> |
1.3 、攻擊場景:
該版本病毒經過攔截銀行類短信獲取用戶帳戶資金往來信息,獲取的信息主要用來進行精準的短信詐騙。
根據短信指令該版本有如下幾種攻擊可能:
一、經過手機短信支付方式爲惡意攻擊者購買指定收費服務。如遊戲帳號充值等。
二、感染設備可能成爲惡意攻擊者發送短信詐騙的肉雞。
三、根據竊取的資金帳戶往來信息,進行精準的短信詐騙。
短信詐騙場景一:
一、朋友B向感染木馬用戶A借錢並以短信形式把帳戶信息告訴A
二、該病毒截取B發來的帳戶信息,並插入以B爲發送者的僞造短信到A的短信收件箱,可是帳戶信息以被修改成惡意攻擊者帳戶信息。
「請打到我愛人卡號,姓名*** *行卡號***」
三、 用戶A轉帳給惡意攻擊者。
短信詐騙場景二:
一、 僞造銀行U盾升級,釣魚方式獲取網銀帳號、密碼。
2、第二版:強化帳戶信息竊取,增長針對支付寶帳戶攻擊
該版本的短信殭屍病毒在初版本的基礎上作了以下改進:
一、加強了默認的攔截規則。經過加強攔截關鍵字,惡意攻擊者幾乎能夠獲得全部與用戶相關帳戶、財產相關的隱私信息。
二、批量發送詐騙短信的能力。包括陌生人和全部聯繫人。
三、增長針對支付寶帳號的攻擊。
四、 優化短信詐騙場景細節, 如向聯繫人發送完詐騙短信後,設置手機進入飛行模式,使對象沒法進行電話確認。
1.一、控制信息:
默認指令控制號碼:13482728336
默認攔截規則:
<?xml version='1.0'encoding='UTF-8'?>
<up>
<K>
<n>元</n><n>行</n><n>費</n><n>錢</n><n>款</n><n>帳戶</n><n>賬號</n>
<n>餘額</n><n>充值</n><n>客戶</n><n>申請</n><n>密碼</n><n>卡號</n>
<n>尊敬</n><n>註冊</n><n>購買</n><n>訂單</n><n>發貨</n><n>業務</n>
<n>累計</n><n>登陸</n><n>登錄</n><n>編輯</n><n>輸入</n><n>預繳</n>
<n>貨款</n><n>受權</n><n>服務</n><n>開通</n><n>到帳</n><n>購買</n>
<n>銷售</n><n>信用卡</n><n>一卡通</n><n>支付寶</n><n>驗證碼</n>
</K>
</up>
1.二、短信指令格式:
在初版本基礎上增長以下短信指令:
短信指令 |
短信指令格式 |
開啓關閉短信監聽 |
<n> <g> <g>//開啓短信監聽 <h> </h>//關閉短信監聽 </n>
|
批量發送短信 |
<p> <t>發送時間間隔</t> <c>發送次數</c> <o>短信內容</o> <r>手機號碼</r> </p> |
向全部聯繫人發送特定短信 |
<l> <z>短信內容</z> </l> |
撥打電話 |
<b> <w>電話號碼</w> <u>撥打時間</u> </b> |
1.三、攻擊場景:
根據短信指令該版本在初版的基礎上增長了如下攻擊場景:
一、經過撥打電話進行電話吸費。
二、向全部聯繫人發送詐騙短信。
「朋友找我借500元急用,幫我匯下,我如今抽不開身,等會忙好了把錢給你,工商銀行,張子遠,6222021…」
三、支付寶帳戶資金的竊取。
利用支付寶「找回密碼」功能,根據「找回密碼」流程設計,若是可以獲取如下三個因子便可成功獲取支付寶帳號:
一、登陸名(手機號碼即爲登陸名,攻擊者可以獲取)
二、手機驗證碼(短信驗證碼攔截可以獲取)
三、證件號碼(帳戶資金往來每每須要告知身份證號,獲取概率很大)
第一步:選擇忘記登陸密碼。
第二步:選擇經過「手機校驗碼+證件號碼」方式找對登陸密碼。
第三步:輸入手機號碼+驗證碼+身份證號找回登陸密碼。
3、第三版:加強代碼安全性,增長針對財付通帳戶的攻擊
該版本的短信殭屍病毒在第二版本的基礎上作了以下改進:
一、關鍵信息的安全性。
默認攔截規則和默認短信指令控制號碼都經過加密的方式存放。
二、安全軟件攻防。
當用戶設備已Root狀況下,該病毒會請求獲取root權限,而後靜默卸載安全軟件。
三、聯繫人信息的竊取,並可對單個聯繫人進行精準短信詐騙。
四、增長對財付通帳號資金竊取。
1.一、控制信息:
默認指令控制號碼:15614026801
以AES加密:解密後爲15614026801
默認攔截規則:
以數據庫形式AES加密後存儲。
解密後的攔截關鍵字密文明文對應關係以下:
0a1f1738f53c1c71dc30bfbb69b11e1d-->受權
0dd29d45780a5ef2a585cefe3e0d09d5-->信用卡
1f6b8db4cb71802bf901f7a121b9d704-->qq
2d6164c4aecf53e144b025177f75f00c-->驗證碼
2ea3e530a3dadebab16211c2580a92b0-->發貨
5be4bf625d7f08110b92a3e366d48293-->登陸
6b7478ac11843d5bd292660aa98c4ca7-->編輯
7cdd9cc73d920413ebef3ec7f9f0b6ea-->登錄
9af274a3dc74f0188494e2c31c3c3510-->充值
09c16e2b89bc9dc785dc566e0cc73983-->訂單
21c4b3fa8361f7aef91615d93e2a6358-->卡號
32d5db9586ca676e73c509877becf4d5-->銷售
59f6d5511a18c4f77d151e1f66487650-->元
68b8f5b4e9c5e41e076b0ee41136dbae-->註冊
119f09d65da3de2fa322124ab14b75b0-->餘額
182e46277e59522d3908807a420ac979-->購買
182e46277e59522d3908807a420ac979-->購買
365e1df4026d042f116c5dc94ea22a0b-->業務
482c7bd438166ba6e3ab0d84e95a5d48-->尊敬
929edb3b2bd13f943671c35c8f6cab13-->帳戶
955d14c0d5f183b287ea07bdf68e781a-->申請
4338c555087f1b697d24863c3238d6aa-->行
5290d12800e93fc3b55806227d670e10-->錢
067623a985b2389a5fc2f0143c3df77d-->財付通
0032784482c06dd176a3dc11980c2483-->開通
a2f3eae4bab0406ec39d79d17c7fd88a-->款
a3be950fb4c10d51732a163bc079cf05-->累計
a6968790a4f4b0e06c376e9c7753a37a-->客戶
b77b7262fcf726017fe4a26e5db6051b-->服務
c7d516d70cfb788ce5abe81344994fe2-->QQ
c2950665754568ccad81f2a460938a4a-->費
cbf8ef2c60269aaee434a4017faed52b-->到帳
d37d954e3083e4652f045e88ab2d80d6-->密碼
d72182d17e5a44722badcc3c95ddd37a-->賬號
dfbc94359470cdce7c747cfc868ec7c7-->支付寶
e07b4b7fe90df0b72e4596e4dbb8a47a-->一卡通
ed99794a8c69501b1b3cdbf4fb9340d5-->輸入
fbbac81ac4e247763050495a180c93c7-->預繳
1.二、短信指令格式:
在第二版本基礎上增長以下短信指令:
短信指令 |
短信指令格式 |
竊取聯繫人信息 |
<k> </k> 竊取數據格式:id1'name1:phonenumber1; id2'name2:phonenumber2; |
向特定id聯繫人發送特定短信 |
<i> <d>id1'id2'id3</d> <f>短信內容</f> </i> |
1.3 攻擊場景:
在第二版本的基礎上增長了如下攻擊場景:
一、向特定聯繫人發送詐騙短信。
二、增長對財付通帳號資金竊取。
整個攻擊流程以下:
第一步:登陸財付通首頁,並選擇「忘記密碼」
(由登陸頁可知,財付通帳號可使用QQ\手機號碼\Email)
第二步:選擇忘記QQ密碼,點擊「當即找回」
第三步:帳號輸入感染設備的手機號。帳號類型選擇「帳號密碼」,輸入驗證碼後,選擇下一步
第四步:選擇短信找回密碼。
第五步:惡意攻擊者發送短信指令,令感染設備發送指定短信到1065755802381,這樣就能夠從新設備QQ密碼。
該處含有一個關鍵的漏洞:輸入手機號後經過頁面能夠獲取到該手機號綁定的QQ號碼。QQ號碼是財付通登陸用戶名。
第六步:輸入第五步獲取到的QQ號碼和經過短信設置的新密碼登陸財付通。
若是財付通帳號設置了二次登陸密碼。還須要另外作以下操做:
第七步:選擇忘記二次登陸密碼
第八步:輸入綁定的手機號碼,即感染設備手機號碼
第九步:輸入木馬攔截到的短信驗證碼,並設置新的二次登陸密碼。
整個財付通帳號竊取流程就完成了。
4、第四版:蛻變爲「銀行悍匪」,增長針對手機銀行攻擊。
短信殭屍第四版在保留了第三版本功能的基礎上,增長了針對幾十家銀行、淘寶手機客戶端的「釣魚」攻擊。短信僵死也蛻變成了「銀行悍匪」。根據百度安全實驗室的病毒檢測數據代表,隨着手機支付、手機購物的流行,這種針對銀行、網購類客戶端的「釣魚」攻擊方式開始頻繁出現,給用戶的帳戶財產安全帶來了很大的隱患。
「銀行悍匪」病毒針對以下銀行:
農業銀行、招商銀行、廣發銀行、興業銀行、郵儲銀行、南京銀行、中信銀行、光大銀行、民生銀行、浦發銀行、平安銀行、廣州農商銀行、重慶銀行、中國銀行、華夏銀 行、湖州銀行、上海銀行、青島銀行、泰隆銀行、四川銀行、杭州銀行、崑崙銀行。
以上銀行使用相同的「釣魚界面」,並根據用戶打開銀行客戶端的不一樣,修改成相應銀行Title。
病毒做者爲中國工商銀行、中國建設銀行、交通銀行、手機淘寶專門定製了高仿真「釣魚界面」。
手機銀行客戶端釣魚流程以下:
總結:
從該病毒家族的迭代升級路線,咱們能夠看出,隨着移動互聯網和Android智能手機的發展,Android手機用戶面臨的手機安全問題愈發嚴重,短信吸費、電話吸費、短信詐騙和金融帳戶安全將時刻困擾着用戶。