【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行

原创 2013年09月29日 07:36:52

本文章由Jack_Jia编写,转载请注明出处。  
文章链接:
http://blog.csdn.net/jiazhijun/article/details/12112733

作者:Jack_Jia    邮箱: 309zhijun@163.com


    近期百度安全实验室发现一款“吸金幽灵“新病毒,该病毒专门用于窃取用户金融类账户信息。根据监控到的数据,目前该病毒仅针对韩国用户,但不能排除是否存在针对其它国家用户的可能性。该病毒伪装成Google Store诱骗用户下载,安装成功运行后,在应用程序列表中自动隐藏应用图标。使用户无法感知程序的存在,从而长期驻留在用户设备中。运行时动态检测运行环境,如果运行在模拟器环境则不触发恶意行为,从而躲避动态分析系统的检测。


    该病毒恶意行为如下:

      1、发送特定短信到特定号码或所有联系人。

      2、卸载官方金融类客户端。

      3、自动下载山寨金融类客户端并提示用户安装。

      4、拦截接收到的短信息并上传到服务器并接收攻击者发送的短信指令。

      5、上传设备联系人信息到服务器。


   下面对该病毒样本进行简单分析:

   样本MD5 :c11e00312ef66a74559933bc77c3f027

   应用包名:com.google.game.store


   1、首先该病毒在AndroidManifest.xml文件注册大量系统频发广播,以便恶意组件能够顺利运行。


 

 

  恶意程序代码树结构:

 


    2、病毒恶意组件功能及交互图


         该病毒窃取银行信息的基本思路是:

            1、病毒根据设备安装的银行客户端类型下载相应的山寨银行客户端。

            2、提示用户升级银行客户端,诱骗用户卸载正版银行客户端,并安装山寨银行客户端。

            2、通过山寨银行客户端窃取用户输入的银行卡号、密码等账号信息。

            3、病毒拦截银行发送的短信交易验证码并发送到服务器。

       这样攻击者就获得了用户银行卡号、密码、交易验证码等所有登录及验证信息。后果很严重!!!


 


   3、恶意代码片段截图


      (1)上传设备联系人信息




   (2)发送短信到所有联系人和特征号码






  (3) 拦截短信并上传短信息


  (4)卸载官方金融类客户端并下载安装山寨金融类客户端(用于获取用户金融账户、密码等信息)

        官方和山寨客户端包名对应关系:

 

     根据设备已安装金融类客户端不同下载相应山寨客户端。



相关文章推荐

【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行

本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/12112733 作者:Jack...

【Android病毒分析报告】- 手机支付毒王“银行悍匪”的前世今生

2014年1月8日,央视曝光了一款名为“银行悍匪”的手机银行木马,该木马高度模仿真正的手机银行软件,通过钓鱼方式获取用户输入的手机号、身份证号、银行账号、密码等信息,并把这些信息上传到黑客指定服务器。...

【Android病毒分析报告】--CoinMiner “掘金僵尸”手机变“挖矿机”

近日百度安全实验室查杀了一批“掘金僵尸”手机木马,该木马通过控制大量手机构建“掘金僵尸网络”,感染该木马的手机即成该“掘金僵尸网络”的肉鸡。黑客通过僵尸网络,远程控制用户手机持续在后台挖掘数字货币(包...

【安卓病毒分析报告】FakeBank-盗取韩国银行信息的手机病毒

FakeBank
  • chichoo
  • chichoo
  • 2014年10月22日 18:38
  • 913

【Android病毒分析报告】 - “支付宝大盗”

近期百度安全实验室发现一款“支付宝大盗”病毒。该病毒通过二次打包嵌入到正常应用中,病毒运行后,自动在后台偷偷上传手机上的所有短信,并且当手机收到新短信时,该病毒会判断短信内容中是否包含“支付宝”、“淘...

【Android病毒分析报告】 - ZxtdPay 吸费恶魔

近期百度安全实验室发现一款“吸费恶魔“新病毒,该病毒目前已感染QQ浏览器、100tv播放器、富豪炸金花等大批流行应用。该病毒启动后,后台偷偷访问远端服务器获取扣费指令,并根据服务器端指令采用不同的扣费...

【Android病毒分析报告】 - Obad

最近卡巴斯基报出Backdoor.AndroidOS.Obad.a病毒( http://www.securelist.com/en/blog/8106/The_most_sophisticated_A...

【Android病毒分析报告】 - CatchSpam

本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/8623266 作者:Jack_Jia   ...

【Android病毒分析报告】 - Extension

本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/8623275 作者:Jack_Jia ...

【Android病毒分析报告】 - FakeLookout

本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/8649473 作者:Jack_Jia   ...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行
举报原因:
原因补充:

(最多只允许输入30个字)