【Android病毒分析报告】 - “支付宝大盗”

原创 2013年12月06日 11:50:45

本文章由Jack_Jia编写,转载请注明出处。  
文章链接:
http://blog.csdn.net/jiazhijun/article/details/17149501

作者:Jack_Jia    邮箱: 309zhijun@163.com



近期百度安全实验室发现一款“支付宝大盗”病毒。该病毒通过二次打包嵌入到正常应用中,病毒运行后,自动在后台偷偷上传手机上的所有短信,并且当手机收到新短信时,该病毒会判断短信内容中是否包含“支付宝”、“淘宝”、“taobao”、“银”、“行”、“农信”等关键字,如果包含,该病毒将会屏蔽此类金融支付类短信。

     

该病毒样本有以下两点需要安全分析人员注意:
1、采用“梆梆加固”加固恶意代码,防止分析人员静态分析和动态调试。
该病毒为了逃避逆向分析和安全厂商病毒检测,通过“梆梆加固”的保护来达到防止逆向分析和动态调试的目的。加固服务提供商需要加强对待加固应用的安全审计,以免被恶意开发者利用。
2、恶意代码+社会工程学配合攻击实现窃取支付宝资金的目的。

     

病毒分析:
1. 主要行为:

1.1 病毒在AndroidManifest.xml文件注册的恶意组件

     

1.2 被梆梆加固后的恶意程序代码树结构:

     

经过百度安全实验室研究人员解固后的源程序代码:

     

1.3 病毒组件功能及交互图

     

2. 攻击原理

2.1 获取用户手机号和身份证号码

通过对恶意代码调用逻辑的分析,该病毒针对的就是支付宝。但是仅仅通过拦截短信时无法攻破支付宝的安全体系的。

在对该恶意样本分析过程中,安全人员发现一个未被调用的“钓鱼”Activity。该Activity通过Webview加载构建的Html页面,诱骗用户输入姓名、身份证号、手机号等敏感信息,当点击“立即认证”后,该页即发送用户输入的真实姓名、手机号码、身份证号等信息到恶意服务器。页面截图如下:

     

但是这部分代码并未被调用,身份证号是支付宝找回登录密码和重置支付密码必须提供的信息,那么恶意攻击者是如何达到盗取支付宝钱财的呢?接下来安全分析人员接到的一个来自00909007980打来的电话才解开谜团:

taobao_6

     

“我这里是人民法院,有您一张法院的传票,***拨9人工帮助”
“请告诉我您的姓名,帮助你查询是否有您的传票”
“….”
“请告诉我您的身份证号,以确认传票是您本人的”
“…..”

  "请留下您的常用邮箱.."

   "...."

     

这个诈骗电话的效果和“钓鱼Activity”实现了相同的功能。如果恶意攻击者通过诈骗电话成功拿到了身份证号,接下来就可以配合恶意代码,突破支付宝的安全防线了:
登录支付宝页面,点击“忘记登录密码”,输入账户名和手机号码:

     

2.2 通过手机验证码+证件号码找回登录密码:

     

输入Android客户端拦截的短信验证码和通过社会工程学得到的身份证号,即可重置密码。

     

2.3 通过手机验证码+证件号码找回支付密码:

输入Android客户端拦截的短信验证码和通过社会工程学得到的身份证号,即可找回支付密码。

接下来恶意攻击者就可以为所欲为了!如果开通了“支付宝快捷支付”功能,绑定的银行卡资金将失去安全保护,由于恶意代码屏蔽了所有金融支付类短信,您将收不到银行发送的余额变动短信。

     

3. 恶意代码片段

3.1 当恶意代码第一次运行时,上传用户手机短信箱内容到服务器。


     

3.2 当手机接收到新短信时,上传短信信息,并屏蔽病毒金融支付类短信。

     

3.3上传身份信息到服务器(但该部分恶意代码在代码中并未调用)

相关文章推荐

【Android病毒分析报告】 - FakeLookout

本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/8649473 作者:Jack_Jia   ...

Android病毒分析技巧和方法总结

Android病毒分析技巧和方法分析前的准备工作: 析前首先了解应用自身的的功能,不要将应用自身的工作当作恶意行为来处理. 看权限,根据应用的权限判断应用可以产生哪些行为,并判断出这些权限是否和应用的...

【Android病毒分析报告】 - BadNews

本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/8863104 作者:Jack_Ji...

MS12-043(CVE-2012-1889)漏洞分析报告

MS12-043(CVE-2012-1889)漏洞分析报告   软件...

slab alloc内存分配机制

slab的“对象重用”                                       到目前为止,SUN于1991年发明的Slab Allocator是各种OS内核Memory Allo...

【Android病毒分析报告】- 手机支付毒王“银行悍匪”的前世今生

2014年1月8日,央视曝光了一款名为“银行悍匪”的手机银行木马,该木马高度模仿真正的手机银行软件,通过钓鱼方式获取用户输入的手机号、身份证号、银行账号、密码等信息,并把这些信息上传到黑客指定服务器。...

【Android病毒分析报告】 - ZxtdPay 吸费恶魔

近期百度安全实验室发现一款“吸费恶魔“新病毒,该病毒目前已感染QQ浏览器、100tv播放器、富豪炸金花等大批流行应用。该病毒启动后,后台偷偷访问远端服务器获取扣费指令,并根据服务器端指令采用不同的扣费...

【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行

本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/12112733 作者:Jack...

【Android病毒分析报告】 - Claco

本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/8627309 作者:Jack_Jia ...

【Android病毒分析报告】--CoinMiner “掘金僵尸”手机变“挖矿机”

近日百度安全实验室查杀了一批“掘金僵尸”手机木马,该木马通过控制大量手机构建“掘金僵尸网络”,感染该木马的手机即成该“掘金僵尸网络”的肉鸡。黑客通过僵尸网络,远程控制用户手机持续在后台挖掘数字货币(包...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:【Android病毒分析报告】 - “支付宝大盗”
举报原因:
原因补充:

(最多只允许输入30个字)