码迷,mamicode.com
首页 > 移动开发 > 详细

支付宝木马安卓短信窃取者分析

时间:2016-04-29 18:08:56      阅读:303      评论:0      收藏:0      [点我收藏+]

标签:

前言

最近关于”点了一条短信 银行卡被盗刷好几千”之类的银行卡盗刷、各类理财账号被莫名转账等新闻越来越多。在这些案例中,非常多受害者都提到手机、验证码等关键词。是的,当前智能手机接收验证码用于更改密码、转账等操作,已经被用在各种产品中。如果这类重要短信被黑客偷偷上传并利用,后果不甚设想,很可能就会成为上面新闻报道的案例。
下文就分析这样一个针对支付宝用户的木马App, 它伪装成安全软件,运行时会窃取各类重要短信并上传到指定服务器。

以下内容翻译、整理自https://www.zscaler.com/blogs/research/fake-security-app-alipay-customers-android-sms-stealer

伪装成支付宝安全控件的木马App
应用名安全控件
Md5 : fad55b4432ed9eeb5d7426c55681586c
包名 : com.bing.receive**

此木马起名”安全控件”并使用支付宝应用图标,使受害者误认为它是一个用于增强支付宝安全的应用。运行之后,木马会隐藏自身图标。同时,木马会注册多个services, 正是这些services窃取短信,并发送到命令&控制(C&C)服务器。

技术细节分析

安装之后,此木马看起来就像是阿里系的应用
技术分享

一旦受害者点击运行之后,将出现一个引导页面。3秒之后,这个页面与程序图标都会消失。
技术分享

此时受害者可能认为这个应用崩溃了,然后已经被安卓系统自动卸载。其实此时木马还在后台运行,并且通过services达到它窃取的目标。

service是一种可以运行在后台并执行长时间任务的Android组件。此木马使用以下services:

  • MyService
  • DealService
  • TestService

同时还会注册一些broadcast receivers。Broadcast receivers是一种根据特定事件执行相应动作的Android组件。此木马注册了以下事件:

  • System Boot Receiver
  • Massage Receiver
  • Screen-On Receiver

在MainActivity的方法中,此木马实现隐藏图标、启动MyService服务.
技术分享

MyService运行之后,马上初始化其它任务,注册SystemBootReceiver与MassageReceiver。
技术分享
当接收到短信时,MassageReceiver就会被触发。MassageReceiver的主要任务就是监控短信的接收,并获取短信的内容。一有获取到短信内容,就会调用DealService。
技术分享

DealService主要任务就是将短信内容发送到命令&控制服务器。它启动一个匿名task, 以post的方式将短信内容发送到服务器。
技术分享
通过抓包,可以清晰看到这一过程:
技术分享
SystemBootReceiver在系统启动时就会被触发,这样就可以保证木马在任何时候都是运行的。它的主要任务就是每一次启动时,启动MyService:
技术分享

总结一下此木马的工作流程:
技术分享

如何卸载

因为图标已经被隐藏,所以可以通过以下步骤卸载:

  • 设置–>应用
  • 找到木马并点击
  • 点击“卸载”选项
  • 点击“确定”

怎样预防这类木马

建议用户只在受信任的应用商店下载App, 不要安装不名来源的App. 可以禁用”设置”中的“允许安装未知来源应用”,这样未知来源的App就不能安装了。

支付宝木马安卓短信窃取者分析

标签:

原文地址:http://blog.csdn.net/apksafe/article/details/51240775

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!