【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行
本文章由Jack_Jia编写,转载请注明出处。
文章链接:http://blog.csdn.net/jiazhijun/article/details/12112733
作者:Jack_Jia 邮箱:309zhijun@163.com
近期百度安全实验室发现一款“吸金幽灵“新病毒,该病毒专门用于窃取用户金融类账户信息。根据监控到的数据,目前该病毒仅针对韩国用户,但不能排除是否存在针对其它国家用户的可能性。该病毒伪装成Google Store诱骗用户下载,安装成功运行后,在应用程序列表中自动隐藏应用图标。使用户无法感知程序的存在,从而长期驻留在用户设备中。运行时动态检测运行环境,如果运行在模拟器环境则不触发恶意行为,从而躲避动态分析系统的检测。
该病毒恶意行为如下:
1、发送特定短信到特定号码或所有联系人。
2、卸载官方金融类客户端。
3、自动下载山寨金融类客户端并提示用户安装。
4、拦截接收到的短信息并上传到服务器并接收攻击者发送的短信指令。
5、上传设备联系人信息到服务器。
下面对该病毒样本进行简单分析:
样本MD5 :c11e00312ef66a74559933bc77c3f027
应用包名:com.google.game.store
1、首先该病毒在AndroidManifest.xml文件注册大量系统频发广播,以便恶意组件能够顺利运行。
恶意程序代码树结构:
2、病毒恶意组件功能及交互图
该病毒窃取银行信息的基本思路是:
1、病毒根据设备安装的银行客户端类型下载相应的山寨银行客户端。
2、提示用户升级银行客户端,诱骗用户卸载正版银行客户端,并安装山寨银行客户端。
2、通过山寨银行客户端窃取用户输入的银行卡号、密码等账号信息。
3、病毒拦截银行发送的短信交易验证码并发送到服务器。
这样攻击者就获得了用户银行卡号、密码、交易验证码等所有登录及验证信息。后果很严重!!!
3、恶意代码片段截图
(1)上传设备联系人信息
(2)发送短信到所有联系人和特征号码
(3) 拦截短信并上传短信息
(4)卸载官方金融类客户端并下载安装山寨金融类客户端(用于获取用户金融账户、密码等信息)
官方和山寨客户端包名对应关系:
根据设备已安装金融类客户端不同下载相应山寨客户端。
