转:http://www.2cto.com/Article/201404/295785.html
概述
近期我们发现一批伪装成网银客户端升级助手的木马。应用名为“建行升级助手”、“邮政升级助手”、“平安升级助手”等数十款木马。其结构内容基本一致,并且经过了几个版本的升级愈加完善。
木马作恶过程分析
1. 申请管理员权限,防止卸载
当用户点击后首先申请管理员权限,防止用户轻易卸载木马。
其相关代码如下:
2. 向控制号码发送激活信息
向控制号码发送激活短信,提示木马激活成功。
其相关代码如下:
3. 骗取用户卡号密码等信息
伪造银行界面,骗取用户隐私信息。
网络截包分析发现其将用户输入的信息上传到了ip地址为142.91.113.86的服务器上。
通过搜索IP:142.91.113.86得到的结果
并且会验证所填写信息的合法性
控制服务器拿到向所填写手机号码后,会向该发送短信,以控制手机向95533发送内容为“88#88”的短信,目的是将被控手机号码绑定手机银行。
13178216427是控制号码,这个号码属于福建泉州联通
4. 监听并转发用户银行验证码
黑客获取了用户账户的信息,同时控制木马拦截银行发给用户的相关验证短信,就可以窃取用户银行卡里的资金,带来极大的财产损失。
目前360安全卫士已经可以查杀。