OX00 前言
近期发现一经过二次打包伪装成韩国知名软件——“大韩通云快递”的病毒。经分析此类软件为支付类软件,该病毒上传用户账号密码至指定服务器,造成用户财产损失。且此类样本均显示为韩文,容易误导用户,风险性高。
OX01 病毒原理
软件名:CJ.(cj大韩通运快递.)
病毒名:a.privacy.emial.d
OX02 病毒详情
0X21 病毒描述
该病毒启动后拦截用户短信,并将短信转发给指定号码,泄漏短信中的账户或密码,可能给手机安全造成一定的威胁。
0X22 病毒行为
(1)上传手机联系人信息、收发件箱、通讯录、来电号码至指定服务器
(2)激活设备管理器,隐藏图标,广播监听接收的短信,并上传服务器
(3)通过开启服务线程下载恶意子包,窃取用户隐私和资费消耗
0X23 感染样本数、感染用户数
0X24 相关代码
1)代码树
2)在主函数中启动程序,运行后激活设备管理器,隐藏桌面图标,获取Config类中number来电号码,启动程序核心服务CoreService类。
3)CoreService中开启子线程,分别实现上传通讯录、联网方式至指定服务器,并得到来电号码、imsi对象以及注册广播接收器,通过广播接受下载子包。
4)上传地址http://1**.10. ***.*/kbs.php? ****i&**
5)注册广播以及线程中上传联网方式
6)下载子包安装完成之后删除安装包,造成流量的损失
7)接收器中
当有短信发送至手机时候:
SMSReceiver类广播就获取 短信箱内容并上传短信、电话号码、内容至指定服务器,极其容易盗取用户账户密码以及验证码的信息,造成不可弥补的财产损失。
OX03 病毒子包分析
OX31 该病毒下载并安装四个子包:
"com.korea.kr_nhbank"---NH速度银行
"com.example.kr_hnbank"--N-bank
"com.example.kr_shbank"--新韩银行
"com.example.kr_wrbank" --友利银行
均是命中a.privacy.nhtwoabc,故分析其中一个包,拆包获取其病毒行为。
OX32 子包代码
软件名:(个人touch韩元.)
包名:com.example.kr_wrbank
病毒名:a.privacy.nhtwoabc.a
OX33病毒描述
该病毒安装后,在后台监控用户短信记录和照片文件并且上传到指定服务器,给您造成隐私泄露。
OX34 相关代码
1)代码树
2)得到来电号码
3)上传来电号码至服务器http://174.* **.122. ***/bank*******
OX04 总结
支付类病毒手段多样,智能化程度提高,仿冒韩国知名app、银行app,一旦点击运行,容易泄露用户个人信息、账户密码,造成隐私的泄露以及不可挽回的财产损失。现如今移动互联网正值上升趋势,各大中小型的电子市场,软件安全性参差不齐,病毒感染率也逐步上升,手机安全更加得到国家的重视。
解决方案
腾讯手机管家一直以强大的病毒查杀,安全的防御能力著称,使用手管可进行此类查杀用户安全防范意识加强,不随意在陌生环境连接网络,不要轻易在市场上下载app,如需下载选择安全性能高的应用宝。
