最新文章:

首页 信息安全

欺诈木马伪基站+伪10086让人防不胜防

发布时间:2016年02月19日 评论数:抢沙发 阅读数:2313

    背景

    近几年,随着智能机的迅速普及以及移动互联网的速发展,人们的生活方式也随之发生了翻天覆地的变化。其中一个明显变化就体现在手机话费充值,过去人们可能需要去营业厅或者通过购买手机卡进行充值缴费,而现如今只需要下载一个中国移动的app,即可在手机上方便的完成操作。但是这也给一些不法分子带来了可乘之机,今日,哈勃分析平台就发现了一款用10086.apk命名,诱导用户安装的手机病毒。

    危害及传播

    我们黑客的邮箱中查看到了病毒收集到的用户短信等信息

    QQ截图20160216111407.jpg

    QQ截图20160216111546.jpg

    QQ截图20160216111223.jpg

    由上图可以看到,中招用户的身份证号淘宝的账号和密码,支付宝的支付密码,甚至银行卡的卡号和密码都被泄露如果被不法分子利用,后果不堪设想。另外通过查看受害人的短信,发现受害人短信中都会有一条10086发来的积分兑换的短信。

    QQ截图20160216181214.jpg
    QQ截图20160216181302.jpg

    仔细查看,惯用手段,l替换1。由此推测,传播途径应该是通过伪基站方式诱骗用户下载安装的登陆l0086vdf.cn 后,界面内容为下图。

    QQ截图20160217102105.jpg

    在第二步中,银行卡的账号密码,身份证等信息会被窃取最后一步中,会下载恶意apk,并诱骗用户安装。经过whois反查l0086vdf.cn信息,可以看到此注册人不仅注册了10086欺骗网站,还有95533建设银行,95508广发银行,appereid-apple.com虚假网站。可见此人 未雨绸缪准备后续工作了。

    QQ截图20160217102833.jpg

    像这种窃取用户通讯录和短信的病毒已经不是第一次出现了,在过去的一年里,频繁登上头条。

    QQ截图20160217102947.jpg

    在过去几次大的传播中,病毒一般是通过遍历通讯录名单,逐一发短信来诱骗其他用户安装。本次10086.apk则是通过“伪基站 方式假冒10086发送短信,除了安装apk,同也通过钓鱼网页的方式盗取银行卡账号,密码身份证等信息,手段多样危害变大。

    病毒行为介绍及详细分析

    病毒的整体运行流程如下图所示

    10086.jpg

    当用户将app安装到手机后,病毒app的图标冒充为中国移动的图标,欺骗用户

    QQ截图20160215163017.jpg

    当用户点击后,病毒会将手机的IMEI,版本信息等通过短信的方式发送到指定号码。

    QQ截图20160215163428.jpg

    QQ截图20160215163906.jpg

    QQ截图20160215163513.jpg

    并且将此短信删除,防止用户发觉到异常
    QQ截图20160215164136.jpg

    随后病毒将用户手机中短信和通讯录内容通过邮箱发送出去,这样便获取到了用户的私人信息。当病毒发现通讯录中有张三或者悟空的人,便取消了发送邮的操作。可能考虑这类用户不是真实的用户

    QQ截图20160215164521.jpg

    QQ截图20160215164834.jpg

    我们通过发件邮箱的账户名和密码,登陆后发现,最近中招的人非常多

    QQ截图20160215165531.jpg

    半天就有25邮件,并且短信内容,通讯录全都被黑客掌握,这些信息如果被二次出售,或被作为诈骗信息恶意利用,后果不堪设想

    QQ截图20160216092724.jpg

    病毒试图获取设备管理器权限弹出“安全控件,请允许激活”的窗口,误导用户点击激活。

    QQ截图20160215170000.jpg
    QQ截图20160215170114.jpg

    无论用户点击了激活还是取消,病毒会弹出设备不兼容,软件安装失败的提示,并将桌面图标删除,但其实程序仍在运行。并且将用户的选择结果通过短信发送黑客。

    QQ截图20160215171235.jpg

    如果用户激活了设备管理器,则病毒会在用户取消设备管理器权限时,通过一定的手法来阻止用户的操作。手法类似于去年流行的android木马OBAD

    QQ截图20160215171552.jpg

    病毒同时启动bootService服务, bootService中,会注册短信广播,并启动一个定时器,启动SecondService,定时检测bootService 是否还存在。如果杀死,则会再次启动bootService

    QQ截图20160215172941.jpg

    短信广播中,病毒对短信号码进行判断,如果是自己发送来的,会根据指令读写数据库,获取手机信息等操作。

    QQ截图20160215174057.jpg

    如果不是自己发来的控制短信,则会将短信内容,发送给黑客。并替换一些较敏感的词汇。

    QQ截图20160215174401.jpg

    另外病毒还注册了开机广播,实现开机自启等功能。

    * 作者:腾讯电脑管家(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

二维码加载中...
本文作者:Mr.linus      文章标题: 欺诈木马伪基站+伪10086让人防不胜防
本文地址:http://www.90qj.com/282  百度暂未收录本文
版权声明:若无注明,本文皆为“挨踢 Blog”原创,转载请保留文章出处。
挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论