从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国

Posted 腾讯手机管家

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国相关的知识,希望对你有一定的参考价值。

OX00 前言
近期发现一经过二次打包伪装成韩国知名软件——“大韩通云快递”的病毒。经分析此类软件为支付类软件,该病毒上传用户账号密码至指定服务器,造成用户财产损失。且此类样本均显示为韩文,容易误导用户,风险性高。 
OX01 病毒原理  



软件名:CJ대한통운택배.(cj大韩通运快递.)
病毒名:a.privacy.emial.d
OX02 病毒详情
0X21 病毒描述
该病毒启动后拦截用户短信,并将短信转发给指定号码,泄漏短信中的账户或密码,可能给手机安全造成一定的威胁。
0X22 病毒行为
(1)上传手机联系人信息、收发件箱、通讯录、来电号码至指定服务器
(2)激活设备管理器,隐藏图标,广播监听接收的短信,并上传服务器
(3)通过开启服务线程下载恶意子包,窃取用户隐私和资费消耗
0X23 感染样本数、感染用户数

0X24 相关代码
1)代码树

2)在主函数中启动程序,运行后激活设备管理器,隐藏桌面图标,获取Config类中number来电号码,启动程序核心服务CoreService类。


3)CoreService中开启子线程,分别实现上传通讯录、联网方式至指定服务器,并得到来电号码、imsi对象以及注册广播接收器,通过广播接受下载子包。

4)上传地址http://1**.10. ***.*/kbs.php? ****i&**

5)注册广播以及线程中上传联网方式

6)下载子包安装完成之后删除安装包,造成流量的损失


7)接收器中

当有短信发送至手机时候:
SMSReceiver类广播就获取 短信箱内容并上传短信、电话号码、内容至指定服务器,极其容易盗取用户账户密码以及验证码的信息,造成不可弥补的财产损失。

OX03 病毒子包分析
OX31 该病毒下载并安装四个子包:
"com.korea.kr_nhbank"---NH速度银行
"com.example.kr_hnbank"--N-bank
"com.example.kr_shbank"--新韩银行
"com.example.kr_wrbank" --友利银行
均是命中a.privacy.nhtwoabc,故分析其中一个包,拆包获取其病毒行为。
OX32 子包代码
软件名:원터치개인(个人touch韩元.)
包名:com.example.kr_wrbank
病毒名:a.privacy.nhtwoabc.a
OX33病毒描述
该病毒安装后,在后台监控用户短信记录和照片文件并且上传到指定服务器,给您造成隐私泄露。
OX34 相关代码
1)代码树



2)得到来电号码


3)上传来电号码至服务器http://174.* **.122. ***/bank*******



OX04 总结
支付类病毒手段多样,智能化程度提高,仿冒韩国知名app、银行app,一旦点击运行,容易泄露用户个人信息、账户密码,造成隐私的泄露以及不可挽回的财产损失。现如今移动互联网正值上升趋势,各大中小型的电子市场,软件安全性参差不齐,病毒感染率也逐步上升,手机安全更加得到国家的重视。
解决方案
腾讯手机管家一直以强大的病毒查杀,安全的防御能力著称,使用手管可进行此类查杀用户安全防范意识加强,不随意在陌生环境连接网络,不要轻易在市场上下载app,如需下载选择安全性能高的应用宝。




以上是关于从“大韩通运快递”支付病毒窥见:短信木马开始袭击韩国的主要内容,如果未能解决你的问题,请参考以下文章

小心手机短信里陌生的链接,可能隐藏木马病毒

如何编写木马

手机网络安全问题,浏览器里面的网页跳转到微信支付,或者支付宝,在支付的过程中会有木马病毒吗?

苹果手机怎么杀木马

短信拦截马”黑色产业链与溯源取证研究

Trojan是啥病毒 能做啥?我电脑每星期大都中这个