本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.csdn.net/jiazhijun/article/details/17149501
作者:Jack_Jia 邮箱: 309zhijun@163.com
近期百度安全实验室发现一款“支付宝大盗”病毒。该病毒通过二次打包嵌入到正常应用中,病毒运行后,自动在后台偷偷上传手机上的所有短信,并且当手机收到新短信时,该病毒会判断短信内容中是否包含“支付宝”、“淘宝”、“taobao”、“银”、“行”、“农信”等关键字,如果包含,该病毒将会屏蔽此类金融支付类短信。
该病毒样本有以下两点需要安全分析人员注意:
1、采用“梆梆加固”加固恶意代码,防止分析人员静态分析和动态调试。
该病毒为了逃避逆向分析和安全厂商病毒检测,通过“梆梆加固”的保护来达到防止逆向分析和动态调试的目的。加固服务提供商需要加强对待加固应用的安全审计,以免被恶意开发者利用。
2、恶意代码+社会工程学配合攻击实现窃取支付宝资金的目的。
病毒分析:
1. 主要行为:
1.1 病毒在AndroidManifest.xml文件注册的恶意组件
1.2 被梆梆加固后的恶意程序代码树结构:
经过百度安全实验室研究人员解固后的源程序代码:
1.3 病毒组件功能及交互图
2. 攻击原理
2.1 获取用户手机号和身份证号码
通过对恶意代码调用逻辑的分析,该病毒针对的就是支付宝。但是仅仅通过拦截短信时无法攻破支付宝的安全体系的。
在对该恶意样本分析过程中,安全人员发现一个未被调用的“钓鱼”Activity。该Activity通过Webview加载构建的Html页面,诱骗用户输入姓名、身份证号、手机号等敏感信息,当点击“立即认证”后,该页即发送用户输入的真实姓名、手机号码、身份证号等信息到恶意服务器。页面截图如下:
但是这部分代码并未被调用,身份证号是支付宝找回登录密码和重置支付密码必须提供的信息,那么恶意攻击者是如何达到盗取支付宝钱财的呢?接下来安全分析人员接到的一个来自00909007980打来的电话才解开谜团:
“我这里是人民法院,有您一张法院的传票,***拨9人工帮助”
“请告诉我您的姓名,帮助你查询是否有您的传票”
“….”
“请告诉我您的身份证号,以确认传票是您本人的”
“…..”
"请留下您的常用邮箱.."
"...."
这个诈骗电话的效果和“钓鱼Activity”实现了相同的功能。如果恶意攻击者通过诈骗电话成功拿到了身份证号,接下来就可以配合恶意代码,突破支付宝的安全防线了:
登录支付宝页面,点击“忘记登录密码”,输入账户名和手机号码:
2.2 通过手机验证码+证件号码找回登录密码:
输入Android客户端拦截的短信验证码和通过社会工程学得到的身份证号,即可重置密码。
2.3 通过手机验证码+证件号码找回支付密码:
输入Android客户端拦截的短信验证码和通过社会工程学得到的身份证号,即可找回支付密码。
接下来恶意攻击者就可以为所欲为了!如果开通了“支付宝快捷支付”功能,绑定的银行卡资金将失去安全保护,由于恶意代码屏蔽了所有金融支付类短信,您将收不到银行发送的余额变动短信。
3. 恶意代码片段
3.1 当恶意代码第一次运行时,上传用户手机短信箱内容到服务器。
3.2 当手机接收到新短信时,上传短信信息,并屏蔽病毒金融支付类短信。
3.3上传身份信息到服务器(但该部分恶意代码在代码中并未调用)
扫一扫
398
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
