欺诈木马伪基站+伪10086让人防不胜防

2016-2-19 Mr.linus 信息安全

背景

近几年,随着智能机的迅速普及以及移动互联网的速发展,人们的生活方式也随之发生了翻天覆地的变化。其中一个明显变化就体现在手机话费充值,过去人们可能需要去营业厅或者通过购买手机卡进行充值缴费,而现如今只需要下载一个中国移动的app,即可在手机上方便的完成操作。但是这也给一些不法分子带来了可乘之机,今日,哈勃分析平台就发现了一款用10086.apk命名,诱导用户安装的手机病毒。

危害及传播

我们黑客的邮箱中查看到了病毒收集到的用户短信等信息

QQ截图20160216111407.jpg

QQ截图20160216111546.jpg

QQ截图20160216111223.jpg

由上图可以看到,中招用户的身份证号淘宝的账号和密码,支付宝的支付密码,甚至银行卡的卡号和密码都被泄露如果被不法分子利用,后果不堪设想。另外通过查看受害人的短信,发现受害人短信中都会有一条10086发来的积分兑换的短信。

QQ截图20160216181214.jpg
QQ截图20160216181302.jpg

仔细查看,惯用手段,l替换1。由此推测,传播途径应该是通过伪基站方式诱骗用户下载安装的登陆l0086vdf.cn 后,界面内容为下图。

QQ截图20160217102105.jpg

在第二步中,银行卡的账号密码,身份证等信息会被窃取最后一步中,会下载恶意apk,并诱骗用户安装。经过whois反查l0086vdf.cn信息,可以看到此注册人不仅注册了10086欺骗网站,还有95533建设银行,95508广发银行,appereid-apple.com虚假网站。可见此人 未雨绸缪准备后续工作了。

QQ截图20160217102833.jpg

像这种窃取用户通讯录和短信的病毒已经不是第一次出现了,在过去的一年里,频繁登上头条。

QQ截图20160217102947.jpg

在过去几次大的传播中,病毒一般是通过遍历通讯录名单,逐一发短信来诱骗其他用户安装。本次10086.apk则是通过“伪基站 方式假冒10086发送短信,除了安装apk,同也通过钓鱼网页的方式盗取银行卡账号,密码身份证等信息,手段多样危害变大。

病毒行为介绍及详细分析

病毒的整体运行流程如下图所示

10086.jpg

当用户将app安装到手机后,病毒app的图标冒充为中国移动的图标,欺骗用户

QQ截图20160215163017.jpg

当用户点击后,病毒会将手机的IMEI,版本信息等通过短信的方式发送到指定号码。

QQ截图20160215163428.jpg

QQ截图20160215163906.jpg

QQ截图20160215163513.jpg

并且将此短信删除,防止用户发觉到异常
QQ截图20160215164136.jpg

随后病毒将用户手机中短信和通讯录内容通过邮箱发送出去,这样便获取到了用户的私人信息。当病毒发现通讯录中有张三或者悟空的人,便取消了发送邮的操作。可能考虑这类用户不是真实的用户

QQ截图20160215164521.jpg

QQ截图20160215164834.jpg

我们通过发件邮箱的账户名和密码,登陆后发现,最近中招的人非常多

QQ截图20160215165531.jpg

半天就有25邮件,并且短信内容,通讯录全都被黑客掌握,这些信息如果被二次出售,或被作为诈骗信息恶意利用,后果不堪设想

QQ截图20160216092724.jpg

病毒试图获取设备管理器权限弹出“安全控件,请允许激活”的窗口,误导用户点击激活。

QQ截图20160215170000.jpg
QQ截图20160215170114.jpg

无论用户点击了激活还是取消,病毒会弹出设备不兼容,软件安装失败的提示,并将桌面图标删除,但其实程序仍在运行。并且将用户的选择结果通过短信发送黑客。

QQ截图20160215171235.jpg

如果用户激活了设备管理器,则病毒会在用户取消设备管理器权限时,通过一定的手法来阻止用户的操作。手法类似于去年流行的android木马OBAD

QQ截图20160215171552.jpg

病毒同时启动bootService服务, bootService中,会注册短信广播,并启动一个定时器,启动SecondService,定时检测bootService 是否还存在。如果杀死,则会再次启动bootService

QQ截图20160215172941.jpg

短信广播中,病毒对短信号码进行判断,如果是自己发送来的,会根据指令读写数据库,获取手机信息等操作。

QQ截图20160215174057.jpg

如果不是自己发来的控制短信,则会将短信内容,发送给黑客。并替换一些较敏感的词汇。

QQ截图20160215174401.jpg

另外病毒还注册了开机广播,实现开机自启等功能。

* 作者:腾讯电脑管家(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

标签: 木马 伪基站

发表评论:

Powered by Mr.Linus 蜀ICP备16005020号