【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行

原创 2013年09月29日 07:36:52

本文章由Jack_Jia编写,转载请注明出处。  
文章链接:
http://blog.csdn.net/jiazhijun/article/details/12112733

作者:Jack_Jia    邮箱: 309zhijun@163.com


    近期百度安全实验室发现一款“吸金幽灵“新病毒,该病毒专门用于窃取用户金融类账户信息。根据监控到的数据,目前该病毒仅针对韩国用户,但不能排除是否存在针对其它国家用户的可能性。该病毒伪装成Google Store诱骗用户下载,安装成功运行后,在应用程序列表中自动隐藏应用图标。使用户无法感知程序的存在,从而长期驻留在用户设备中。运行时动态检测运行环境,如果运行在模拟器环境则不触发恶意行为,从而躲避动态分析系统的检测。


    该病毒恶意行为如下:

      1、发送特定短信到特定号码或所有联系人。

      2、卸载官方金融类客户端。

      3、自动下载山寨金融类客户端并提示用户安装。

      4、拦截接收到的短信息并上传到服务器并接收攻击者发送的短信指令。

      5、上传设备联系人信息到服务器。


   下面对该病毒样本进行简单分析:

   样本MD5 :c11e00312ef66a74559933bc77c3f027

   应用包名:com.google.game.store


   1、首先该病毒在AndroidManifest.xml文件注册大量系统频发广播,以便恶意组件能够顺利运行。


 

 

  恶意程序代码树结构:

 


    2、病毒恶意组件功能及交互图


         该病毒窃取银行信息的基本思路是:

            1、病毒根据设备安装的银行客户端类型下载相应的山寨银行客户端。

            2、提示用户升级银行客户端,诱骗用户卸载正版银行客户端,并安装山寨银行客户端。

            2、通过山寨银行客户端窃取用户输入的银行卡号、密码等账号信息。

            3、病毒拦截银行发送的短信交易验证码并发送到服务器。

       这样攻击者就获得了用户银行卡号、密码、交易验证码等所有登录及验证信息。后果很严重!!!


 


   3、恶意代码片段截图


      (1)上传设备联系人信息




   (2)发送短信到所有联系人和特征号码






  (3) 拦截短信并上传短信息


  (4)卸载官方金融类客户端并下载安装山寨金融类客户端(用于获取用户金融账户、密码等信息)

        官方和山寨客户端包名对应关系:

 

     根据设备已安装金融类客户端不同下载相应山寨客户端。



【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行

本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/12112733 作者:Jack...
  • thinkinwm
  • thinkinwm
  • 2013年10月09日 14:35
  • 731

【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行

近期百度安全实验室发现一款“吸金幽灵“新病毒,该病毒专门用于窃取用户金融类账户信息。根据监控到的数据,目前该病毒仅针对韩国用户,但不能排除是否存在针对其它国家用户的可能性。该病毒伪装成Google S...
  • u012291977
  • u012291977
  • 2013年09月29日 18:10
  • 466

CSS3下实现幽灵按钮

CSS3下实现幽灵按钮
  • Simagle
  • Simagle
  • 2015年06月30日 19:03
  • 690

记一次清理Android设备里病毒(Ghost Push)的过程

设备:迈乐M9  OS:Android 4.2.2 固件版本:V3.4.5 android设备中了病毒,每隔几分钟自动弹色情广告,或者是自动下载安装应用。从应用管理看到奇怪的进程。 前期尝试: 使...
  • feiniao8651
  • feiniao8651
  • 2016年10月24日 22:08
  • 1839

【Android病毒分析报告】 - FakeLookout

本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/8649473 作者:Jack_Jia   ...
  • jiazhijun
  • jiazhijun
  • 2013年03月08日 11:32
  • 3668

Natas.4744幽灵王病毒的分析

文章作者:罗云彬 防黑网.www.zzfhw.com  防黑网.www.zzfhw.com  防黑网.www.zzfhw.com 病毒介绍: 防黑网.www.zzfhw.com  防黑网.ww...
  • ccx_john
  • ccx_john
  • 2013年11月11日 12:29
  • 966

幽灵按钮css3

暑假第14天,学习了幽灵按钮。 幽灵按钮,也就是Ghost Buttons,是一个透明的按钮,通常是矩形或者圆角矩形,仅保留基本的形制,使用细线来标识边界;按钮内的文字通常使用纤细的非衬线体字体的纯...
  • Christine95
  • Christine95
  • 2015年07月16日 00:36
  • 1458

lintcode-打劫房屋

假设你是一个专业的窃贼,准备沿着一条街打劫房屋。每个房子都存放着特定金额的钱。你面临的唯一约束条件是:相邻的房子装着相互联系的防盗系统,且 当相邻的两个房子同一天被打劫时,该系统会自动报警。 给定一...
  • ljlstart
  • ljlstart
  • 2015年09月13日 10:30
  • 1182

谈谈最近很火的android手机病毒

““XXX(机主姓名)看这个,ht://********XXshenqi.apk”最近一种手机病毒爆发,机主收到这样的短信,开头是以发送者手机通讯录存储的名字为开头,然后再让对方点开一个网页链接。 其...
  • zjccoder
  • zjccoder
  • 2014年08月03日 10:48
  • 5563

Android----病毒查杀原理及应用

今天看到一篇帖子,是关于病毒查杀的问题,那片帖子写的很详细,将原理都讲述出来了,后来根据帖子的代码自己实例验证了一下,发现是可行的,所以,现在就记录一下学习的过程。(此文有借鉴的地方,关键是大家能学到...
  • xuewater
  • xuewater
  • 2013年11月04日 10:33
  • 1136
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行
举报原因:
原因补充:

(最多只允许输入30个字)