首页 信息安全

欺诈木马伪基站+伪10086让人防不胜防

发布时间:2016年02月19日 评论数：抢沙发 阅读数：5713

背景

近几年，随着智能机的迅速普及，以及移动互联网的快速发展，人们的生活方式也随之发生了翻天覆地的变化。其中一个明显变化就体现在手机话费充值上，过去人们可能需要去营业厅，或者通过购买手机卡进行充值缴费，而现如今只需要下载一个中国移动的app，即可在手机上方便的完成操作。但是这也给一些不法分子带来了可乘之机，今日，哈勃分析平台就发现了一款用10086.apk命名，诱导用户安装的手机病毒。

危害及传播

我们从黑客的邮箱中查看到了病毒收集到的用户短信等信息。







由上图可以看到，中招用户的身份证号，淘宝的账号和密码，支付宝的支付密码，甚至是银行卡的卡号和密码都被泄露。如果被不法分子利用，后果不堪设想。另外通过查看受害人的短信，发现受害人短信中都会有一条10086发来的积分兑换的短信。




仔细查看，惯用手段，用l替换1。由此推测，传播途径应该是通过“伪基站”的方式诱骗用户下载安装的。登陆到l0086vdf.cn 后，界面内容为下图。



在第二步中，银行卡的账号密码，身份证等信息会被窃取。在最后一步中，会下载恶意apk，并诱骗用户安装。经过whois反查l0086vdf.cn的信息，可以看到此注册人不仅注册了10086的欺骗网站，还有95533建设银行，95508广发银行，appereid-apple.com等虚假网站。可见此人“ 未雨绸缪”，准备后续工作了。



像这种窃取用户通讯录和短信的病毒已经不是第一次出现了，在过去的一年里，频繁登上头条。



在过去几次大的传播中，病毒一般是通过遍历通讯录名单，逐一发短信来诱骗其他用户安装。而本次10086.apk，则是通过“伪基站 ”的方式假冒10086发送短信，除了安装apk，同时也通过钓鱼网页的方式盗取银行卡账号，密码身份证等信息，手段多样，危害变大。

病毒行为介绍及详细分析

病毒的整体运行流程如下图所示



当用户将app安装到手机后，病毒app的图标冒充为中国移动的图标，欺骗用户



当用户点击后，病毒会将手机的IMEI，版本信息等通过短信的方式发送到指定号码。









并且将此短信删除，防止用户发觉到异常。


随后病毒将用户手机中短信和通讯录内容通过邮箱发送出去，这样便获取到了用户的私人信息。当病毒发现通讯录中有叫张三或者悟空的人时，便取消了发送邮件的操作。可能考虑这类用户不是真实的用户。





我们通过发件时邮箱的账户名和密码，登陆后发现，最近中招的人非常多 。



仅半天就有25封邮件，并且短信内容，通讯录全都被黑客掌握，这些信息如果被二次出售，或被作为诈骗信息恶意利用，后果不堪设想 。



病毒试图获取设备管理器权限，并弹出“安全控件，请允许激活”的窗口，误导用户点击激活。




无论用户点击了激活还是取消，病毒都会弹出“设备不兼容，软件安装失败”的提示，并将桌面图标删除，但其实程序仍在运行。并且将用户的选择结果通过短信发送给黑客。



如果用户激活了设备管理器，则病毒会在用户取消设备管理器权限时，通过一定的手法来阻止用户的操作。手法类似于去年流行的android木马OBAD。



病毒同时会启动bootService服务， 在bootService中，会注册短信广播，并启动一个定时器，启动SecondService，定时检测bootService 是否还存在。如果被杀死，则会再次启动bootService。



在短信广播中，病毒对短信号码进行判断，如果是自己发送来的，会根据指令读写数据库，获取手机信息等操作。



如果不是自己发来的控制短信，则会将短信内容，发送给黑客。并替换一些较敏感的词汇。



另外病毒还注册了开机广播，实现开机自启等功能。

* 作者：腾讯电脑管家（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）