“微信支付大盗”来袭,有人被盗近万元

近日,猎豹移动安全实验室捕获到一类高度危险的盗取微信支付资金类的手机病毒,多款手机ROM和APP中均捆绑了该病毒。中毒后,微信帐号随即被盗,严重威胁微信支付钱包及微信支付关联的银行卡资金安全,目前已有上千名用户中招。

据某中招用户回述:

前几个月将手机进行了刷机。12月11日,突然弹出一个提示框,显示微信未登录,登陆后就继续玩游戏没管。 晚上发现手机已死机,第二天重刷后发现微信被盗。然后直接申诉找回,发现绑定的qq和手机全被解除,绑定微信的一张建设银行储蓄卡里面8330被消费完了。联系微信客服后,对方回应无法赔付。

那么,病毒是如何实现盗号,又如何将钱财一扫而空?让我们一探究竟!

病毒原理分析

经猎豹移动安全实验室分析发现:原来,该微信盗号木马暗藏于鱼龙混杂的各类第三方定制ROM和APP中,伪装为安卓系统服务模块,通过弹出伪造的微信登录和支付的钓鱼界面,获得用户的登录密码以及支付密码后,再通过监控用户短信等手段,远程窃取微信支付绑定的银行卡余额。

以其中的一个病毒样本timesync.apk为例:

病毒通过注册BootBroadcastReceiver实现自启动服务,主要的恶意功能包括上报用户短信、劫持微信钓鱼、上传微信数据、卸载微信、摧毁系统等。

1、监控顶层的Activity,启动劫持微信APP的钓鱼界面,诱骗用户登录、输入支付密码。

即当病毒运行后,会弹出一个消息框,提示微信登录过期,建议用户重新登录。

(伪造的微信消息框)

点击登陆后,会诱骗用户输入微信账号和登陆密码。

(伪造的微信登录界面)

大部分用户会不加思索地填写自己的微信帐号和密码,此时,病毒将会迅速将该信息发送到攻击者的服务器。

但这并没完,病毒会紧接着索取微信支付密码。(在你并没有进行正常消费支付操作时,就要求你输入支付密码,这不是很奇怪吗?)

(伪造的支付钓鱼界面)

2、打包上报用户短信,并监*听用户短信收发。

至此,这个微信盗号木马已经顺利得到受害者的微信帐号、登录密码和支付密码。

当小偷在其他设备登录受害者微信时,微信的安全功能会要求提供手机短信验证码验证登录者身份。此时验证码会同样被病毒上传,小偷得以顺利登录受害者的微信帐号。接下来,就是小偷大肆挥霍盗*窃的时间。

微信钱包里所有可以利用的资金,均有可能被盗。包括:微信零钱、转帐、红包、京东购物、城市服务、水电费、微粒贷(假如该帐户有权限申请贷款的话)等等。猎豹移动安全实验室已注意到有受害者损失近万元。

(盗取转账截图)

3、打包上传用户微信安装目录的数据,可通过分析用户数据,替换数据文件登录绕过部分安全风控限制。

4、从远程服务器轮询控制命令并执行,包括开关设置、短信监控、微信卸载、系统摧毁、数据上报等。

5、在用户桌面创建虚假快捷方式。

病毒传播渠道:

猎豹移动安全专家紧急提醒网民高度警惕这个专门针对微信的盗号木马,一旦中招,后果十分严重。

该病毒感染后,还会申请ROOT权限,假如受害者已将手机ROOT,而后又错误地将ROOT权限分配给病毒程序,就需要通过刷机来彻底清除病毒。

猎豹移动安全实验室监测到这个仿冒微信的盗号木马会通过若干个墙纸应用、一键转移应用到SD卡、Google应用下载器、一键卸载大师等传播,在部分非官方刷机包中也有植入。

微信消息频繁的用户受害概率较低,如果你正在使用微信,你的帐户在其他设备登录时,会收到安全警告提醒。如果是web微信,会立刻被踢下线。

猎豹移动安全专家提醒:

1、该微信盗号木马的传播渠道可能来自山寨APP,也可能来自非官方的刷机包。特别建议安卓用户不要轻易尝试非官方刷机包,尽可能不要ROOT安卓手机,仅在可靠的大的应用市场下载软件,不从任何短信中点击链接下载软件;

2、除非自己正在使用微信支付,否则不要在任何程序窗口中提供自己的微信支付密码。如果你不简单填写支付密码,小偷要破解微信支付密码,需要费一番功夫,小偷不会轻易得手;

3、如果你已经发现自己微信帐号资金被盗,请立刻联系微信官方客服申请冻结资金,再联系警方报案处理;

4、安装猎豹安全大师,防止手机中毒。

*本文作者:渔村安全(企业帐号),转载请注明来自FreeBuf

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-01-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏区块链大本营

独家 | 揭底!BiYong被爆严重用户隐私安全漏洞!

32850
来自专栏安智客

iPhone能用公交卡了,细节全在白皮书里!

昨天中午就开始网传iOS11.3版本会增加对北京和上海公交卡的支持! 安智客一直关注安全技术,对于iOS11,不想再似是而非了,不愿在网上搜索只言片语了,我们需...

391150
来自专栏黑白安全

黑客攻下隔壁女神路由器后:竟做了这些事

无线路由器被蹭网后,有被黑的风险吗?其实这个问题可以理解为:蹭网之后,能做些什么?这个问题也可以理解为:上了不安全的wifi后,还有没有任何隐私?

24630
来自专栏FreeBuf

关于移动终端的短信安全分析

短信是公众接收信息的重要途径,也是网站登录页面识别用户本人的一个有效手段。网站通过用户手机号及对应手机号接收到的短信验证码,来识别一个有效用户,用户则通过官方短...

21620
来自专栏FreeBuf

一场屠戮MongoDB的盛宴反思 | 超33000个数据库遭遇入侵勒索

许多人没有想到,去年12月一件不起眼的小事,在新年伊始却演变成了一场屠杀。如今,受害的一方似乎正由于自身的疏忽和迟钝而显得愈发无力反抗,一个接一个倒下。 截止本...

31980
来自专栏All in Tech

Enecuum链

生态链之所以存在,主要是用于过滤不执行有用操作的交易(垃圾交易,垃圾邮件,过载信息,对区块链系统进行Dos攻击的尝试等)

45570
来自专栏企鹅号快讯

网络数据库泄露容量再次攀升,41GB数据文件出现在暗网

近日,据国外媒体报道,网监控公司 4iQ 发现暗网中出现了高达 41 GB 的数据文件,其中包含 14 亿份以明文形式存储的账号邮箱和密码等登录凭证。本次泄露事...

66280
来自专栏Youngxj

关于支付宝的安全登录漏洞

21050
来自专栏安恒信息

解密伪造钓鱼WiFi:安恒信息支招如何让WiFi使用更安全

央视3·15晚会再次关注手机应用安全问题,在晚会上曝光了免费WiFi的安全问题,并在现场给大家演示了利用伪造钓鱼WiFi技术窃取了台下观众的上网内容。坦白的说,...

383100
来自专栏FreeBuf

域名背后的真相,一个黑产团伙的沦陷

前言 很多小伙伴溯源一般只追查到whois信息,但个人认为该信息未必是真实有效的,挖掘背后的信息才是正章。 起因 今天在朋友圈,看到朋友发了一条信息,说收到带病...

576100

扫码关注云+社区

领取腾讯云代金券