微信号:AVLTeam

介绍:专注移动互联网安全,恶意代码分析/安全技术研究/行业生态等知识分享平台

别抢红包了!小心倾家荡产!

2016-02-25 14:57 AVL Team

引言

 

在移动互联网飞速发展的背景下,网上购物也开始由PC端向移动端发展,越来越多的用户开始使用手机购物App来进行购物。“抢红包、领购物代金券、打车折扣券”蔚然成风,一场“红包满天飞”的集体社交狂欢正轰轰烈烈上演着。



 

近期AVL移动安全团队截获一款名为《天天红包》的恶意软件,发现其存在泄露个人QQ账号、支付宝账号等恶意行为。说不定领个红包,账号里的钱一下就给掏空了!真是吓死宝宝了!

 


经过分析,安全人员发现该恶意软件有如下行为特征:

 

  1. 激活设备管理器,隐藏图标,通过邮件和短信上传用户短信、联系人以及用户设备相关信息。

  2. 向用户联系人发送包含用户联系人称呼和恶意URL的短信,推送同类恶意应用。

  3. 拦截用户短信,执行主控号码发来的指令。

  4. 劫持支付宝和手机QQ的登录界面,将用户账号和密码上传到指定邮箱。

  5. 阻止用户取消激活设备管理器,以防止被卸载。

     

一、抽丝剥茧—恶意代码详细分析

 

1.看!恶意应用信息


该应用是一款名为“天天红包”的APP,程序包名:com.txaw.zxm,图标如下:



2.狠!泄露隐私没商量

 

程序运行后会提示用户激活设备管理器,然后隐藏程序图标,继续在后台运行。将用户短信、联系人信息以及用户设备相关信息发送到主控号码,并上传到指定邮箱,以窃取用户隐私。

 

主控号码和邮箱通过native方法返回并base64解密获取。


图1 在native层获取主控号码与邮箱账号密码 



3.坏!通过联系人恶意传播

 

程序运行时会向用户的所有联系人私自发送一条包含用户联系人称呼和“恭喜发财,这里有惊喜t.cn/R4ULSoz”的短信。用户点击短信中的短URL后会下载同类型的恶意应用程序。

图2 向用户联系人群发包含恶意ULR的短信


4.诡!接收并执行短信指令控制

 

程序还包含短信远程功能,当受害用户手机接收主控手机发送的指令短信,会通过相应的短信指令来控制用户手机并执行恶意行为操作。


相应的指令和功能如下表所示:

 


图3 短信指令解析

 

5.险!劫持QQ、支付宝登陆界面

 

程序在后台运行时会监测用户手机是否安装了手机QQ和支付宝。我们在分析中还发现,在用户登录手机QQ和支付宝时,程序会进行界面劫持,窃取用户输入的账号和密码并通过恶意邮箱上传的相关代码,会造成用户QQ,支付宝账号和密码相关信息泄露。在当前样本中界面劫持和上传用户账号密码的功能未被调用,但该程序的劫持功能很容易被其他程序调用,猜测可能在后续版本中实现此功能或者与其他恶意程序配合使用。我们简单尝试了外部调用该恶意程序,会出现如下图所示的劫持界面:

 

图4 支付宝和手机QQ劫持界面

 


图5 虚假的支付宝界面



图6 虚假的QQ登录界面


6.醉!防止被用户卸载

 

程序在取消激活设备管理器时会自动跳回到设置的界面,阻止用户对其进行卸载,使用户手机一直处于控制之中。

 


图7 自动跳转到设置页面


二、安全小贴士

 

该恶意软件以红包作为诱饵,利用中毒手机中的所有联系人进行更大范围的恶意传播,真真儿是诡计多端!

 

AVL移动安全团队不得不说的话:

1.官方的、正版的很重要!

不要在非官方网站或者不知名的应用市场下载任何应用。

2.看到链接就想点是病!得治!

对短信中包含的URL要提高谨慎,请勿轻易点击。


针对此类手机病毒,AVL Pro已经实现查杀。团队的小伙伴们真是杠杠滴~!

AVL移动安全团队建议大家尽快下载安装AVL Pro对该类木马进行检测和查杀,帮助大家摆脱病毒营造良好手机环境!




动动手指,点击下方“阅读原文”,就可以进入官方博客阅读更多噢~ 

 
AVLTeam 更多文章 短信拦截马黑产揭露 Android恶意代码编年史 Android恶意代码编年史 NFC手机:攻破交通卡 警惕恶意代码传播者盯上QQ群
猜您喜欢 如何设计MVP中的Presentation层 正态分布的前世今生(1) 互联网企业研发生产是如何进行的?【8.13千人课堂分享实录】 15 个 Android 通用流行框架大全 为什么开放的Android无法获得成功?(一)