记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

2015-12-04 20:10

OX00 前言

近期发现一经过二次打包伪装成韩国知名软件——“大韩通运快递”的病毒。经分析此类软件为支付类软件,该病毒上传用户账号密码至指定服务器,造成用户财产损失。且此类样本均显示为韩文,容易误导用户,风险性高。 

OX01 病毒原理  

 

软件名:CJ대한통운택배.(cj大韩通运快递.)

病毒名:a.privacy.emial.d

OX02 病毒详情

0X21 病毒描述

该病毒启动后拦截用户短信,并将短信转发给指定号码,泄漏短信中的账户或密码,可能给手机安全造成一定的威胁。

0X22 病毒行为

(1)上传手机联系人信息、收发件箱、通讯录、来电号码至指定服务器

(2)激活设备管理器,隐藏图标,广播监听接收的短信,并上传服务器

(3)通过开启服务线程下载恶意子包,窃取用户隐私和资费消耗

0X23 感染样本数、感染用户数

0X24 相关代码

1)代码树

2)在主函数中启动程序,运行后激活设备管理器,隐藏桌面图标,获取Config类中number来电号码,启动程序核心服务CoreService类。

3)CoreService中开启子线程,分别实现上传通讯录、联网方式至指定服务器,并得到来电号码、imsi对象以及注册广播接收器,通过广播接受下载子包。

4)上传地址http://1**.10. ***.*/kbs.php? ****i&**

5)注册广播以及线程中上传联网方式

6)下载子包安装完成之后删除安装包,造成流量的损失

7)接收器中

当有短信发送至手机时候:

SMSReceiver类广播就获取 短信箱内容并上传短信、电话号码、内容至指定服务器,极其容易盗取用户账户密码以及验证码的信息,造成不可弥补的财产损失。

OX03 病毒子包分析

OX31 该病毒下载并安装四个子包:

"com.korea.kr_nhbank"—NH速度银行

"com.example.kr_hnbank"–N-bank

"com.example.kr_shbank"–新韩银行

"com.example.kr_wrbank" –友利银行

均是命中a.privacy.nhtwoabc,故分析其中一个包,拆包获取其病毒行为。

OX32 子包代码

软件名:원터치개인(个人touch韩元.)

包名:com.example.kr_wrbank

病毒名:a.privacy.nhtwoabc.a

OX33病毒描述

该病毒安装后,在后台监控用户短信记录和照片文件并且上传到指定服务器,给您造成隐私泄露。

OX34 相关代码

1)代码树

2)得到来电号码

3)上传来电号码至服务器http://174.* **.122. ***/bank*******

 

OX04 总结

支付类病毒手段多样,智能化程度提高,仿冒韩国知名app、银行app,一旦点击运行,容易泄露用户个人信息、账户密码,造成隐私的泄露以及不可挽回的财产损失。现如今移动互联网正值上升趋势,各大中小型的电子市场,软件安全性参差不齐,病毒感染率也逐步上升,手机安全更加得到国家的重视。

* 作者:腾讯手机管家(企业账号),转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

知识来源: www.freebuf.com/articles/terminal/88234.html

阅读:61952 | 评论:0 | 标签:终端安全 短信木马

想收藏或者和大家分享这篇好文章→复制链接地址

“从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云