前言
最近关于”点了一条短信 银行卡被盗刷好几千”之类的银行卡盗刷、各类理财账号被莫名转账等新闻越来越多。在这些案例中,非常多受害者都提到手机、验证码等关键词。是的,当前智能手机接收验证码用于更改密码、转账等操作,已经被用在各种产品中。如果这类重要短信被黑客偷偷上传并利用,后果不甚设想,很可能就会成为上面新闻报道的案例。
下文就分析这样一个针对支付宝用户的木马App, 它伪装成安全软件,运行时会窃取各类重要短信并上传到指定服务器。
以下内容翻译、整理自https://www.zscaler.com/blogs/research/fake-security-app-alipay-customers-android-sms-stealer
伪装成支付宝安全控件的木马App
应用名:安全控件
Md5 : fad55b4432ed9eeb5d7426c55681586c
包名 : com.bing.receive**
此木马起名”安全控件”并使用支付宝应用图标,使受害者误认为它是一个用于增强支付宝安全的应用。运行之后,木马会隐藏自身图标。同时,木马会注册多个services, 正是这些services窃取短信,并发送到命令&控制(C&C)服务器。
技术细节分析
安装之后,此木马看起来就像是阿里系的应用
一旦受害者点击运行之后,将出现一个引导页面。3秒之后,这个页面与程序图标都会消失。
此时受害者可能认为这个应用崩溃了,然后已经被安卓系统自动卸载。其实此时木马还在后台运行,并且通过services达到它窃取的目标。
service是一种可以运行在后台并执行长时间任务的Android组件。此木马使用以下services:
- MyService
- DealService
- TestService
同时还会注册一些broadcast receivers。Broadcast receivers是一种根据特定事件执行相应动作的Android组件。此木马注册了以下事件:
- System Boot Receiver
- Massage Receiver
- Screen-On Receiver
在MainActivity的方法中,此木马实现隐藏图标、启动MyService服务.
MyService运行之后,马上初始化其它任务,注册SystemBootReceiver与MassageReceiver。
当接收到短信时,MassageReceiver就会被触发。MassageReceiver的主要任务就是监控短信的接收,并获取短信的内容。一有获取到短信内容,就会调用DealService。
DealService主要任务就是将短信内容发送到命令&控制服务器。它启动一个匿名task, 以post的方式将短信内容发送到服务器。
通过抓包,可以清晰看到这一过程:
SystemBootReceiver在系统启动时就会被触发,这样就可以保证木马在任何时候都是运行的。它的主要任务就是每一次启动时,启动MyService:
总结一下此木马的工作流程:
如何卸载
因为图标已经被隐藏,所以可以通过以下步骤卸载:
- 设置–>应用
- 找到木马并点击
- 点击“卸载”选项
- 点击“确定”
怎样预防这类木马
建议用户只在受信任的应用商店下载App, 不要安装不名来源的App. 可以禁用”设置”中的“允许安装未知来源应用”,这样未知来源的App就不能安装了。