网银盗号、短信远控类木马分析报告+病毒样本+哈勃分析报告

毫无关系的好吧

样本MD5:
23f5b646cd23a57b0c0ce171b6c14501

哈勃自动分析报告：
http://habo.qq.com/file/showdetail?pk=ADQGb11lB2U=

样本下载地址：

行为描述:
该样本伪装成建设银行手机网银升级工具,使用建设银行网银图标,程序安装后，启动首先提示用户增加Admin权限，通过一个内置的浏览器访问http://wap.cicbxz.com网址，该网址是一个专门盗取用户网银账号密码的虚假钓鱼网站,诱骗用户输入账号密码信息,同时拦截用户短信内容，接收控制端发出的短信指令，外发用户短信内容给控制端号码。

APK安装程序启动界面:



安装成功后的桌面图标:


XML文件中定义的内容:

通过XML中注册服务增加android.permission.BIND_DEVICE_ADMIN权限，用来绑定设备管理器。为程序提升Admin权限做准备。


程序启动后，有1个和用户进行交互的Activity,是:


启动函数OnCreate:


Init函数:
该Activity启动后,首先创建一个WebView对象，该对象功能是一个内置的Web浏览器,设置属性，支持加载包含JS脚本的页面.

增加功能接口,用来加载指定的URL对象。

Register函数:
注册一个广播接收器，用来接收类型为com.test.myReceiver的动作，通过该动作来执行用户操作的程序界面。

通过用户操作三个按钮，发送相应的动作广播。


广播接收器的具体操作:

界面有三个功能按钮,当点击主页时,程序通过Webview对象的loadurl接口拉起浏览器访问指定的HomeActivity.URL页面,
该页面指向:

界面展示:






Start函数:
用来启动MsgWatcher服务(后面做分析):


Policy函数:
该功能用来启动设备管理器，给用户提示，由用户选择并激活程序Admin权限，添加了Admin权限的程序，通过系统应用管理器将无法卸载。


执行效果:


loadUrl:
通过WebView.loadUrl拉起内置浏览器执行访问假网银盗号钓鱼网站:



根据瑞星官网云安全网址拦截5月8日搜集到的恶意网站信息，该网站是一个冒充建行网银骗取用户账户名和密码的钓鱼网站:


相关链接查询:
http://it.rising.com.cn/anti_virus/2014-05-09/15609.html

注:经过测试目前该链接PC网址和移动网址均无法打开，猜测服务器可能已经关闭了。

MsgWatcher服务代码:
该类中的部分函数代码无法正常反编译成JAVA代码,所以配合Smali代码来做分析:

类里的全局变量暴露了黑客用来接收用户短信和发送短信指令的手机号码，此号码可以通过短信通知更改:


在MsgWatcher类中的OnCreate函数中，创建了MessageHandler对象，并初始化该对象:

调用MsgWatcher类的register方法:


该方法负责注册一个短信广播接收器，用来拦截接收用户短信:


拦截操作:
拦截获取用户接收到的短信发件人号码和短信内容,对"86"开头的短信进行过滤:

通过消息传递的方式,调用Handle给指定的号码转发短信和内容:


解析短信内容部分:
由此判断,当中毒手机接收到远程控制端发送的短信内容后，病毒会根据短信内容和特定的格式进行拆分，接收特定的命令。

病毒可以通过接收到的短信内容，解析手机号码，控制端会通知病毒，控制端手机号码已更换，病毒也会做及时调整，和新号码进行短信通信，转发被控端短信内容。



Push函数通过sendMessage发消息，由handleMessage来处理消息


在HandleMessage处理中，会调用send_bind_msg来发送短信内容

给指定号码发送短信内容的功能send函数:



在Handle函数中，发送保存在数据配置文件中的短信号码，其中包括95588号码在内，疑似有向工行发送定制某种网银服务信息的短信。


通过系统配置记录号码内容:


分析结论:
该木马具备网银盗号和短信后门类远控两种特点:
包含一个伪造的建设银行网银登录界面,内置URL访问功能，程序启动后，链接访问钓鱼网站，骗取用户输入账户名密码信息，程序使用建行网银图标。是比较典型的网银盗号功能的木马。
包含短信远程控制功能，控制端可以远程向中毒手机发送特定格式的短信指令，病毒通过拦截用户短信内容，解析指令，执行相应的操作，并且将用户短信内容外发给控制端。从代码的静态分析判断，还有疑似向工行网银发送定制服务短信的功能，并且程序启动后尝试提升Admin权限，防止用户卸载，增加开机自启动功能和权限，是具备比较典型的后门行为。


哈勃自动分析报告：
http://habo.qq.com/file/showdetail?pk=ADQGb11lB2U=

mz123456

等等马上测试

蓝天二号

百度在线监测，和网秦检测，差距真的好大，，，




网秦：

mz123456

电脑客户端测试火绒不报红伞报

cn86li

BD
Android.Trojan.SMSSend.OO

jayavira

XywCloud

准备提交给bav、安全管家

安全管家确认已经可以查杀

b573684723

蓝天二号 发表于 2014-6-26 14:26
百度在线监测，和网秦检测，差距真的好大，，，

网秦我觉得就一骗子公司

hzz2009

[压缩包病毒]
描述：病毒隐藏在压缩包中，随压缩包解压后诱导用户运行达到作恶目的。
文件位置：D:\virus\网银盗号短信远控木马\网银盗号短信远控木马.apk classes.dex

Smile恒

大蜘蛛监控清除！