近几年,随着智能机的迅速普及,以及移动互联网的快速发展,人们的生活方式也随之发生了翻天覆地的变化。其中一个明显变化就体现在手机话费充值上,过去人们可能需要去营业厅,或者通过购买手机卡进行充值缴费,而现如今只需要下载一个中国移动的app,即可在手机上方便的完成操作。但是这也给一些不法分子带来了可乘之机,今日,哈勃分析平台就发现了一款用10086.apk命名,诱导用户安装的手机病毒。
我们从黑客的邮箱中查看到了病毒收集到的用户短信等信息。
由上图可以看到,中招用户的身份证号,淘宝的账号和密码,支付宝的支付密码,甚至是银行卡的卡号和密码都被泄露。如果被不法分子利用,后果不堪设想。另外通过查看受害人的短信,发现受害人短信中都会有一条10086发来的积分兑换的短信。
仔细查看,惯用手段,用l替换1。由此推测,传播途径应该是通过“伪基站”的方式诱骗用户下载安装的。登陆到l0086vdf.cn 后,界面内容为下图。
在第二步中,银行卡的账号密码,身份证等信息会被窃取。在最后一步中,会下载恶意apk,并诱骗用户安装。经过whois反查l0086vdf.cn的信息,可以看到此注册人不仅注册了10086的欺骗网站,还有95533建设银行,95508广发银行,appereid-apple.com等虚假网站。可见此人“ 未雨绸缪”,准备后续工作了。
像这种窃取用户通讯录和短信的病毒已经不是第一次出现了,在过去的一年里,频繁登上头条。
在过去几次大的传播中,病毒一般是通过遍历通讯录名单,逐一发短信来诱骗其他用户安装。而本次10086.apk,则是通过“伪基站 ”的方式假冒10086发送短信,除了安装apk,同时也通过钓鱼网页的方式盗取银行卡账号,密码身份证等信息,手段多样,危害变大。
当用户将app安装到手机后,病毒app的图标冒充为中国移动的图标,欺骗用户
当用户点击后,病毒会将手机的IMEI,版本信息等通过短信的方式发送到指定号码。
并且将此短信删除,防止用户发觉到异常。
随后病毒将用户手机中短信和通讯录内容通过邮箱发送出去,这样便获取到了用户的私人信息。当病毒发现通讯录中有叫张三或者悟空的人时,便取消了发送邮件的操作。可能考虑这类用户不是真实的用户。
我们通过发件时邮箱的账户名和密码,登陆后发现,最近中招的人非常多 。
仅半天就有25封邮件,并且短信内容,通讯录全都被黑客掌握,这些信息如果被二次出售,或被作为诈骗信息恶意利用,后果不堪设想 。
病毒试图获取设备管理器权限,并弹出“安全控件,请允许激活”的窗口,误导用户点击激活。
无论用户点击了激活还是取消,病毒都会弹出“设备不兼容,软件安装失败”的提示,并将桌面图标删除,但其实程序仍在运行。并且将用户的选择结果通过短信发送给黑客。
如果用户激活了设备管理器,则病毒会在用户取消设备管理器权限时,通过一定的手法来阻止用户的操作。手法类似于去年流行的android木马OBAD。
病毒同时会启动bootService服务, 在bootService中,会注册短信广播,并启动一个定时器,启动SecondService,定时检测bootService 是否还存在。如果被杀死,则会再次启动bootService。
在短信广播中,病毒对短信号码进行判断,如果是自己发送来的,会根据指令读写数据库,获取手机信息等操作。
如果不是自己发来的控制短信,则会将短信内容,发送给黑客。并替换一些较敏感的词汇。
另外病毒还注册了开机广播,实现开机自启等功能。
* 作者:腾讯电脑管家(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
!评论内容需包含中文