最新文章:

首页 News

短信木马2.0来袭:“网络木马”即将泛滥

发布时间:2015年11月11日 评论数:抢沙发 阅读数:970

    之前看到很多支付类病毒都是窃取“支付验证码”的“短信木马”,原理木马病毒是把用户手机接收到的验证码,通过短信转发到另外一个手机号码,实现直接的验证短信窃取,从而进行支付转账。国内曝光的“相册病毒”、“假冒10086”、“违章病毒”、“小三病毒”大都是这个原理。

    随着中国国内手机号码实名制的规范化管理,不法分子使用手机号码作案越变得越容易暴露身份。最近抓到了一个窃取短信病毒,是可以利用后台系统直接监控中毒手机联网上线,模拟事主代发短信,根据黑客撰写的病毒文档说明,并通过进一步反编译分析,非常清晰地看见不法分子的诈骗系统又升级了。可以很确定地下个断言:短信木马迎来2.0时代,“网络木马”很快又要泛滥了!

    想象一下,如果你有一天收到某位亲朋好友的短信,内容大概是因为什么事需要多少钱,卡号多少,那么这个时候你就要考虑是不是他本人发送的呢?如果不是,那事情的真相又是如何?

    一、“网络马”病毒逻辑图

    二、病毒作者病毒说明截图

    1.裝置連線狀態藍色=在線、灰色=不在線
    2.裝置使用的電信服務
    3.目前裝置使用的上網方式
    4.裝置的SIM卡編號
    5.裝置的目前電量
    6.裝置的電話號碼(依裝置而異,不一定會有)
    7.刪除此裝置的所有相關資料

    三、破译的病毒作者服务器的数据

    上传上来的短信收发箱信息:

    监听事主手机的位置,包括经纬度,还支持谷歌地图定位:

    远程控制事主手机向指定联系人发送短信:

    病毒支持上传手机联系人资料:

    下面这份数据可以看出病毒作者控制用户手机发出借钱信息,因为发出的借钱信息,发完应该就被删除了,所以这里没有:

    四、反编译代码行为分析

    启动程序开启服务执行病毒行为,有如下病毒行为:

    行为1:获取本机号码并上传服务器。

    行为2:获取手机联系人信息并上传服务器。

    行为3:获取收发件箱信息存放在数据库并上传服务器。

    行为4:上传获取到的短信内容。

    上传的服务器地址: 

    行为5:读取病毒监听设定的方法,并执行监听。

    行为6:删除短信。

    五、病毒的追踪

    根据该病毒的关联信息,进一步追踪到另外一些关联病毒包(详见下图),从软件名中我们可以发现伪装成“最高人民检察院”、“建行”、“中国人民检察”等等的APP,这样看来利用这个进行诈骗的目的就非常明显了。

    病毒样本截图:

    六、简单总结

    支付类病毒日益变化,跟之前的对比,获取短信隐私的行为已经由短信转发变成了网络系统统一管理,比现在的更加智能化、系统化和可视化,这样诈骗分子利用作案就更有针对性,对被感染的用户通信的关系链被掌握,同学朋友圈子一旦被诈骗分子恶意使用,后果是非常可怕的。

    七、解决方案和建议

    A.不要安装来历不明的软件,特别是在短信内附带的下载地址; 

    B.收到熟人发出来的不正常的短信,需要尽快跟事主联系,及时和亲朋好友电话等多重确认;

    C.目前腾讯手机管家已经支持进行查杀与防御该病毒。

    *作者:腾讯手机管家(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.com)

二维码加载中...
本文作者:Mr.linus      文章标题: 短信木马2.0来袭:“网络木马”即将泛滥
本文地址:http://www.90qj.com/246  百度暂未收录本文
版权声明:若无注明,本文皆为“挨踢 Blog”原创,转载请保留文章出处。
挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论