百度安全实验室

“银行卡窃贼”病毒分析报告

时间:2017/03/29   作者:王园园

一、简介

近来新闻多次报道手机用户的银行卡被盗刷,账号里面的钱财被异地盗取,给用户造成大量的钱财损失的恶意事件。其中,银行卡被“隔空盗刷”的行为,正是黑客利用木马病毒攻击用户手机的一种方式。我们发现一款“银行卡窃贼”病毒,该病毒采用钓鱼的方式骗取用户输入银行卡号和密码,后台私自将银行卡信息和收件箱短信上传到远程服务器,黑客再利用这些信息复制银行卡,完成异地盗刷,给用户造成经济损失。

 

二、病毒危害

1、该病毒伪装手机银行界面,骗取用户输入银行卡号和密码,后台将银行卡信息上传到远程服务器。

2、私自窃取用户的收件箱短信,并将信息上传到远程服务器。

3、该病毒不断出现变种,其中存在研发中的恶意代码模块,包括恶意功能如远程控制手机、ROOT用户手机并下载恶意代码和文件,发送扣费短信息,HOOK手机,拨打扣费电话。

4、后台私自窃取包括验证码短信、银行卡信息的短信,上传到远程服务器;
 
三、病毒行为:

1、  该病毒是一款僵尸程序,黑客能够远程控制手机,发送相关指令,下载恶意代码和文件。

2、  该病毒劫持谷歌商店,显示伪装的手机银行界面,窃取银行卡信息:

用户手机安装谷歌商店,启动Google Play Store应用,病毒程序定时检测谷歌商店(包名com.android.vending)进程是否启动,然后根据指令显示伪装的银行卡界面,诱导用户输入卡号和密码,后台将卡号信息上传到远程服务器。

启动伪装的银行卡流程图:

图1

图1



劫持谷歌商店的行为,让用户误以为谷歌商店要绑定银行卡,诱导用户输入卡号密码;

2

 

图2

 

后台将银行卡号上传到服务器时进行网络抓包,可以看到绑定银行卡输入的卡号和密码都被窃取了

3

图3

 
3、  病毒显示钓鱼网页,用户输入银行卡信息后,后台窃取银行卡号和密码:

手机安装银行类app或者服务器指定的相关app,病毒私自请求服务器并返回“包名”指令,启动相关app病毒程序会强制跳转到钓鱼界面,诱导用户输入银行卡号和密码,后台将用户输入的卡号信息上传到远程服务器;

 

4

图4

 
四、病毒传播途径

病毒程序的下载源:

http://mobload.top/#

http://updapp.date/

该病毒通过网站下载的方式进行传播,其中这2个网站看上去是一个杀毒软件下载网站,网站详细介绍包括软件的图标,并提供伪装的应用截图,还有伪装的用户好评,该网址以假乱真,用户很难确定其为恶意病毒下载网站,用户打开网址后,病毒软件下载到手机中,导致感染“银行卡窃贼”病毒。

5

 

图5

6

图6

 

7

图7

 
五、详细分析
 
1、“银行卡窃贼”病毒伪装成手机银行、安全杀毒类软件,该类病毒家族危害重大,病毒木马通过启动伪装的手机银行界面、钓鱼网站的方式窃取银行卡账号、密码,窃取收件箱短信验证码,上传到黑客指定的远程服务器,再使用银行卡信息复制用户银行卡,进一步完成异地盗刷的流程,给用户直接造成经济损失。

下图是“银行卡窃贼”病毒导致用户银行卡被盗刷的流程图:

8图8

 
2、下载安装病毒软件后,用户打开程序显示激活设备管理器,激活后导致无法卸载木马病毒,给用户造成严重干扰;

病毒启动后还能够隐藏桌面图标,使得用户无法察觉到此恶意应用。
 

9

 

图9

 
相关代码

隐藏桌面图标

10

图10

 
3、  病毒程序显示伪装的银行界面和钓鱼网站
 
(1)、病毒劫持谷歌商店,显示伪装的手机银行界面:用户开机或者打开谷歌商店app,都会弹出假的手机银行界面

病毒程序运行即可启动定时器,每隔3秒进行检测,针对已安装谷歌商店的手机,病毒通过判断包名(com.android.vending)判断谷歌商店的进程,再结合指令,在用户无意识的情况下再弹出的银行卡界面,让用户误以为是谷歌商店需要绑定银行卡,进行卡号绑定,诱导用户输入卡号和密码,其实后台将卡号信息上传到远程服务器;

 

伪装的银行卡界面模块代码:

11

图11

12

图12

 
(2)、显示钓鱼网页并窃取银行卡号和密码:

病毒程序通过启动定时器,每隔3秒向服务器请求指令,返回的指令包含相关“包名”,当用户手机安装银行类app或者服务器指定的相关app,并运行app后,病毒程序会强制跳转到钓鱼界面,在该界面诱导用户输入银行卡号和密码,后台将用户输入的卡号信息上传到远程服务器;

 
4、后台私自窃取包括验证码短信、银行卡信息的短信,上传到远程服务器;

13

 

图13

黑客收集用户的银行卡账号、密码、短信等隐私信息,通过其他恶意方式复制用户的银行卡,进一步完成盗刷,给用户造成经济损失。
 
5、 该病毒程序还有未研发完成的恶意代码模块,黑客可能未来将不断研发添加其他恶意功能:

(1)、该模块代码显示病毒将会ROOT用户手机,下载恶意代码和文件;

(2)、根据服务器指令给恶意号码发送扣费短信;

(3)、HOOK用户手机,拨打扣费电话;

(4)、根据服务器指令给付费电话拨打号码,造成资费消耗;

14

 

图14 恶意代码模块

该病毒木马还在继续出现变种,黑客通过加壳的方式,隐藏恶意代码,躲避安全软件的检测;

在诱导用户激活设备管理器后,将病毒程序安装到系统目录,导致用户无法取消激活设备管理器功能,导致无法删除病毒软件,给用户造成钱财损失。

相关播报

首页 | 百度手机卫士 | 开放平台 | 关于我们

Copyright © 2019 Baidu. All Rights Reserved.

百度公司 版权所有