【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行

原创 2013年09月29日 07:36:52

本文章由Jack_Jia编写,转载请注明出处。  
文章链接:
http://blog.csdn.net/jiazhijun/article/details/12112733

作者:Jack_Jia    邮箱: 309zhijun@163.com


    近期百度安全实验室发现一款“吸金幽灵“新病毒,该病毒专门用于窃取用户金融类账户信息。根据监控到的数据,目前该病毒仅针对韩国用户,但不能排除是否存在针对其它国家用户的可能性。该病毒伪装成Google Store诱骗用户下载,安装成功运行后,在应用程序列表中自动隐藏应用图标。使用户无法感知程序的存在,从而长期驻留在用户设备中。运行时动态检测运行环境,如果运行在模拟器环境则不触发恶意行为,从而躲避动态分析系统的检测。


    该病毒恶意行为如下:

      1、发送特定短信到特定号码或所有联系人。

      2、卸载官方金融类客户端。

      3、自动下载山寨金融类客户端并提示用户安装。

      4、拦截接收到的短信息并上传到服务器并接收攻击者发送的短信指令。

      5、上传设备联系人信息到服务器。


   下面对该病毒样本进行简单分析:

   样本MD5 :c11e00312ef66a74559933bc77c3f027

   应用包名:com.google.game.store


   1、首先该病毒在AndroidManifest.xml文件注册大量系统频发广播,以便恶意组件能够顺利运行。


 

 

  恶意程序代码树结构:

 


    2、病毒恶意组件功能及交互图


         该病毒窃取银行信息的基本思路是:

            1、病毒根据设备安装的银行客户端类型下载相应的山寨银行客户端。

            2、提示用户升级银行客户端,诱骗用户卸载正版银行客户端,并安装山寨银行客户端。

            2、通过山寨银行客户端窃取用户输入的银行卡号、密码等账号信息。

            3、病毒拦截银行发送的短信交易验证码并发送到服务器。

       这样攻击者就获得了用户银行卡号、密码、交易验证码等所有登录及验证信息。后果很严重!!!


 


   3、恶意代码片段截图


      (1)上传设备联系人信息




   (2)发送短信到所有联系人和特征号码






  (3) 拦截短信并上传短信息


  (4)卸载官方金融类客户端并下载安装山寨金融类客户端(用于获取用户金融账户、密码等信息)

        官方和山寨客户端包名对应关系:

 

     根据设备已安装金融类客户端不同下载相应山寨客户端。



一枚Android "短信小偷" 病毒的分析

一、样本简介 样本来自于吾爱破解论坛链接地址为http://www.52pojie.cn/thread-410238-1-1.html,样本不是很复杂有空就分析了一下。Android病毒样本还是很有意...
  • QQ1084283172
  • QQ1084283172
  • 2015-09-23 14:18:06
  • 2175

再见病毒一枚

http://bbs.pediy.com/showthread.php?p=1207854#post1207854 之前论坛上已有发大牛分析了,抱着学习目的练习下   病毒名称:      x...
  • zhangmiaoping23
  • zhangmiaoping23
  • 2013-08-09 09:56:40
  • 1104

Android apk检测病毒-VirSCAN

http://r.virscan.org/
  • jaycee110905
  • jaycee110905
  • 2014-08-15 11:38:59
  • 1266

【Android病毒分析报告】 - ZxtdPay 吸费恶魔

近期百度安全实验室发现一款“吸费恶魔“新病毒,该病毒目前已感染QQ浏览器、100tv播放器、富豪炸金花等大批流行应用。该病毒启动后,后台偷偷访问远端服务器获取扣费指令,并根据服务器端指令采用不同的扣费...
  • jiazhijun
  • jiazhijun
  • 2013-09-13 08:13:14
  • 7493

【Android病毒分析报告】 - BadNews

本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/8863104 作者:Jack_Ji...
  • jiazhijun
  • jiazhijun
  • 2013-04-28 15:45:22
  • 3630

大学教抢劫?我为母校很骄傲

大学教抢劫?我为母校很骄傲    ...
  • GODFIRE
  • GODFIRE
  • 2008-03-21 12:21:00
  • 1126

【Android病毒分析报告】--FakeInstaller

Android.FakeInstaller 是一个广泛传播的移动恶意软件系列。它曾假冒奥运会赛事成绩应用程序、Skype、Flash Player、Opera 和许多其他流行应用程序。事实上,在移动恶...
  • jiazhijun
  • jiazhijun
  • 2013-03-03 19:14:13
  • 2273

Sorebrect勒索病毒分析报告

背景介绍AES-NI是一个x86指令集架构的扩展,用于Intel和AMD微处理器,由Intel在2008年3月提出。该指令集的目的是改进应用程序使用AES执行加密和解密的速度。 如代码所...
  • qq_32400847
  • qq_32400847
  • 2017-07-28 18:53:27
  • 407

Android病毒样本分析(3)

1.基本信息 病毒名称: com.android.getbest-1 文件名称: 王者荣耀刷皮肤 文件MD5: 4FF98D2A5F045921757B73FAA1D6012D 文件包名: com....
  • ireader135
  • ireader135
  • 2017-03-23 16:02:48
  • 578

Svchosts病毒分析报告

基本信息 报告名称: Svchosts病毒分析报告 作者: 晨雾 报告更新日期:2016-10-17 样本发现日期:2016-10-17 样本类型: 盗号木马 ...
  • qq_20977145
  • qq_20977145
  • 2016-10-19 22:17:35
  • 476
收藏助手
不良信息举报
您举报文章:【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行
举报原因:
原因补充:

(最多只允许输入30个字)