从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

怪狗 2016-7-29 HACK 0 0

        病毒原理

  从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  软件名:CJ대한통운택배.(cj大韩通运快递.)

  病毒名:a.privacy.emial.d

  OX02 病毒详情

  0X21 病毒描述

  该病毒启动后拦截用户短信,并将短信转发给指定号码,泄漏短信中的账户或密码,可能给手机安全造成一定的威胁。

  0X22 病毒行为

  (1)上传手机联系人信息、收发件箱、通讯录、来电号码至指定服务器

  (2)激活设备管理器,隐藏图标,广播监听接收的短信,并上传服务器

  (3)通过开启服务线程下载恶意子包,窃取用户隐私和资费消耗

  0X23 感染样本数、感染用户数

  从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  0X24 相关代码

  1)代码树

  从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  2)在主函数中启动程序,运行后激活设备管理器,隐藏桌面图标,获取Config类中number来电号码,启动程序核心服务CoreService类。

 从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  3)CoreService中开启子线程,分别实现上传通讯录、联网方式至指定服务器,并得到来电号码、imsi对象以及注册广播接收器,通过广播接受下载子包。

     从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  4)上传地址http://1**.10. ***.*/kbs.php? ****i&**

  从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  5)注册广播以及线程中上传联网方式

  从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  6)下载子包安装完成之后删除安装包,造成流量的损失

  从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

    从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  7)接收器中

    从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  当有短信发送至手机时候:

  SMSReceiver类广播就获取 短信箱内容并上传短信、电话号码、内容至指定服务器,极其容易盗取用户账户密码以及验证码的信息,造成不可弥补的财产损失。

  从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  OX03 病毒子包分析

  OX31 该病毒下载并安装四个子包:

  "com.korea.kr_nhbank"—NH速度银行

  "com.example.kr_hnbank"–N-bank

  "com.example.kr_shbank"–新韩银行

  "com.example.kr_wrbank" –友利银行

  均是命中a.privacy.nhtwoabc,故分析其中一个包,拆包获取其病毒行为。

  OX32 子包代码

  软件名:원터치개인(个人touch韩元.)

  包名:com.example.kr_wrbank

  病毒名:a.privacy.nhtwoabc.a

  OX33病毒描述

  该病毒安装后,在后台监控用户短信记录和照片文件并且上传到指定服务器,给您造成隐私泄露。

  OX34 相关代码

  1)代码树

  从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

   从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  2)得到来电号码

  从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  3)上传来电号码至服务器http://174.* **.122. ***/bank*******

     从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

  4 总结

  支付类病毒手段多样,智能化程度提高,仿冒韩国知名app、银行app,一旦点击运行,容易泄露用户个人信息、账户密码,造成隐私的泄露以及不可挽回的财产损失。现如今移动互联网正值上升趋势,各大中小型的电子市场,软件安全性参差不齐,病毒感染率也逐步上升,手机安全更加得到国家的重视。

原文地址:https://www.77169.com/hack/201512/219372.shtm

转载请注明来自华盟网,本文标题:《从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国》

喜欢 (0) 发布评论