网银盗号木马分析+habo分析报告

显示全部楼层 · 发表于 2014-8-14 14:16:21

样本MD5:
a25d735c41d83805febd5fa2e213a9c8

哈勃自动分析报告：
http://habo.qq.com/file/showdetail?pk=ADEGYl1sB2c=

样本下载地址：

主要行为:
1.伪装成支付宝应用程序,提供虚假界面，诱骗用户填写网银账户等敏感信息，并通过短信方式发送给指定控制端手机。
2.拦截并外发用户手机短信内容，具备短信后门类木马功能。

程序安装后，在桌面生成一个假的支付宝数字证书的应用图标，诱导用户点击

木马病毒用到的权限列表:
主要包括读写和发送接收短信，读取联系人数据。
<uses-permission android:name="android.permission.SEND_SMS" />
<uses-permission android:name="android.permission.RECEIVE_SMS" />
<uses-permission android:name="android.permission.READ_SMS" />
<uses-permission android:name="android.permission.WRITE_SMS" />
<uses-permission android:name="android.permission.READ_CONTACTS" />
根据XML文件得到程序入口点位置在com.winbag.province.du.main中

程序入口点部分代码:

程序一启动,首先调用requestDeviceAdmin函数,该函数通过DevicePolicyManager设备管理器对象，激活设备Admin管理器，提示用户给程序激活Admin权限，诱骗用户进行提权操作

执行效果截图:

紧接着，启动BootReceiver服务:

BootReceiver服务启动后，首先给指定的手机号码发送短信，通知木马已经成功安装，当黑客接收到此短信时，已经获取到了被控手机的手机号码信息。

通过comapi对象的send 接口向指定的号码发送短信内容:

通过comapi对象的getPhoneContract 接口使用ContentResolver对象获取手机上的联系人名称和手机号码内容

通过comapi对象的getSMSInfo和getSMSInfosend接口获取用户手机所有短信内容并转发给指定的控制端手机号码

getSMSInfo通过ContentResolver对象查询所有收件箱和发件箱的短信内容

调用packageManager包管理服务对象，通过setComponentEnabledSetting设置参数，来隐藏桌面上的应用程序图标，该程序只要执行成功一次，桌面图标就被隐藏了。

执行完入口Main函数后，执行一个activity,该名称为.showinput，启动一个带有欺骗功能的用户输入界面:

当用户在虚假的界面内输入姓名，身份证号码，银行名称，卡号，联系电话这些敏感信息，用户点击按钮后，都通过comapi.send接口按照指定格式发送到控制端手机，从而窃取用户的网银账号信息,猜测用户拿到这些敏感信息，从而进一步进行金融诈骗等活动，十分危险。

执行效果截图:

当用户点击完成提交申请后，主界面就退出了。

拦截用户短信，该程序在XML中注册了一个短信监听器，专门负责拦截用户短信内容:

如果是短信内容包含以下特殊字符标记，表明是控制端发来的短信内容，这类短信会通过监听器筛选，直接启动sesese服务，该服务调用comapi的delete接口对短信进行删除,

comapi的delete接口,用来删除短信:

总结:该木马病毒通过提权，隐藏桌面图标，删除短信，伪装成支付宝应用程序，构造虚假登录界面,诱骗用户填写网银账号,手机号码等敏感信息，并且能获取所有手机收发的短信内容，黑客获得此类信息后，可能会利用目前网银对账号安全管理方面的一些漏洞，例如补办挂失受害人的银行卡或者进行其它金融诈骗等行为操作，给用户带来财产损失，私密泄露等严重安全威胁。

显示全部楼层 · 发表于 2014-8-14 14:18:54

Emsisoft

显示全部楼层 · 发表于 2014-8-14 14:35:04

楼主是不是学通信工程的呀，每次都解析的这么清楚，让我这样的扫描党无比膜拜。

显示全部楼层 · 发表于 2014-8-14 14:48:08

to eset,火绒Miss

显示全部楼层 · 发表于 2014-8-14 14:57:50

Trojan-Spy.AndroidOS.SmsThief

显示全部楼层 · 发表于 2014-8-14 15:48:23

这个样本7月份就有了吧

显示全部楼层 · 发表于 2014-8-14 15:52:25

金山已入库

显示全部楼层 · 发表于 2014-8-14 16:16:44

卡巴斯基杀

显示全部楼层 · 发表于 2014-8-14 17:38:09

Trojan:Android/SmsSend.MU
C:\Users\Eric\Desktop\a25d735c41d83805febd5fa2e213a9c8.rar\a25d735c41d83805febd5fa2e213a9c8.apk
Android.Trojan.SMSSend.TB
C:\Users\Eric\Desktop\a25d735c41d83805febd5fa2e213a9c8.rar

显示全部楼层 · 发表于 2014-8-14 18:57:25

chiyin0505 发表于 2014-8-14 15:48
这个样本7月份就有了吧

这么多杀毒

[病毒样本] 网银盗号木马分析+habo分析报告

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块