FakeBank
文件信息
病毒恶意行为
该病毒运行后弹出设备管理器激活界面,图标隐藏,电话薄联系人列表截取,SMS发送及收件箱所有信息拦截,干扰通话,下载恶性伪装韩国银行软件,利用漏洞设备管理器激活页面里不显示恶性程序而导致用户卸载不了软件等行为。
运行界面
IP地址显示为日本
详细分析
恶性样本运行2秒后弹出设备管理器激活界面,8秒过后把自己图标隐藏。
手机BOOT以后会执行以下服务,ProcessRemoteCmdService.class,ClientService.class,SmsService.class, Contac tsService.class, CallService.class另外还有恶性软件终止运行后会自启动服务恶性功能
利用sendSmsBySmsList函数phoneList和smsContent发送到服务器。
来电拦截及通话记录删除代码
客户端2分钟一次query_intercept,5分钟一次反复的监视update_state.
删除手机里安装的正常韩国银行软件
韩国银行介绍
正常韩国银行软件删除以后利用bankHijack()函数在指定的地址里下载伪装韩国银行图标的恶性样本及安装
手机联系人信息拦截代码
用户收件箱及接收的短信全部发送到指定服务器
上传到服务器的其他敏感信息有 用户信息,手机信息,通话内容信息,录音信息等。
配置文件信息里能看到设备管理器激活设置时receiver里没有Action.因此设备管理器激活以后设备管理器设置里不显示此样本激活信息而取消不了也卸载不了样本。只能用工具卸载或者初始化设备。