关闭

【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行

9055人阅读 评论(13) 收藏 举报
分类:

本文章由Jack_Jia编写,转载请注明出处。  
文章链接:
http://blog.csdn.net/jiazhijun/article/details/12112733

作者:Jack_Jia    邮箱: 309zhijun@163.com


    近期百度安全实验室发现一款“吸金幽灵“新病毒,该病毒专门用于窃取用户金融类账户信息。根据监控到的数据,目前该病毒仅针对韩国用户,但不能排除是否存在针对其它国家用户的可能性。该病毒伪装成Google Store诱骗用户下载,安装成功运行后,在应用程序列表中自动隐藏应用图标。使用户无法感知程序的存在,从而长期驻留在用户设备中。运行时动态检测运行环境,如果运行在模拟器环境则不触发恶意行为,从而躲避动态分析系统的检测。


    该病毒恶意行为如下:

      1、发送特定短信到特定号码或所有联系人。

      2、卸载官方金融类客户端。

      3、自动下载山寨金融类客户端并提示用户安装。

      4、拦截接收到的短信息并上传到服务器并接收攻击者发送的短信指令。

      5、上传设备联系人信息到服务器。


   下面对该病毒样本进行简单分析:

   样本MD5 :c11e00312ef66a74559933bc77c3f027

   应用包名:com.google.game.store


   1、首先该病毒在AndroidManifest.xml文件注册大量系统频发广播,以便恶意组件能够顺利运行。


 

 

  恶意程序代码树结构:

 


    2、病毒恶意组件功能及交互图


         该病毒窃取银行信息的基本思路是:

            1、病毒根据设备安装的银行客户端类型下载相应的山寨银行客户端。

            2、提示用户升级银行客户端,诱骗用户卸载正版银行客户端,并安装山寨银行客户端。

            2、通过山寨银行客户端窃取用户输入的银行卡号、密码等账号信息。

            3、病毒拦截银行发送的短信交易验证码并发送到服务器。

       这样攻击者就获得了用户银行卡号、密码、交易验证码等所有登录及验证信息。后果很严重!!!


 


   3、恶意代码片段截图


      (1)上传设备联系人信息




   (2)发送短信到所有联系人和特征号码






  (3) 拦截短信并上传短信息


  (4)卸载官方金融类客户端并下载安装山寨金融类客户端(用于获取用户金融账户、密码等信息)

        官方和山寨客户端包名对应关系:

 

     根据设备已安装金融类客户端不同下载相应山寨客户端。



20
2

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:778393次
    • 积分:8702
    • 等级:
    • 排名:第2280名
    • 原创:47篇
    • 转载:49篇
    • 译文:3篇
    • 评论:566条
    博客公告




    欢迎加入Android安全实验室QQ群交流学习:296752155





    博客专栏
    最新评论