Browsed by
月份:2014年7月

仿冒移动“积分兑换服务”木马分析

仿冒移动“积分兑换服务”木马分析

作者:石浩然 概述 继前不久360安全中心截获仿冒淘宝以“订单失败”为由进行诈骗的木马“假面银贼”之后,近日360安全中心又截获了仿冒移动“积分兑换服务”以“移动积分可兑换现金”为由诱导用户输入个人银行卡号、身份证、手机号码等信息,并将这些信息通过网络上传到木马作者指定的远端地址。同时该木马激活设备管理器(阻止用户轻易卸载木马程序),隐藏图标后台拦截并转发新到短信、接收木马作者短信指令发送任意短信内容到任意号码,从而用户存在银行的钱财会在“悄无声息”的情况下被木马作者洗劫一空。360安全中心提醒网民,请通过360手机助手等正规应用市场下载应用。目前360已全面查杀该木马:     木马作恶过程分析 1、木马运行后,发送报活短信通知木马作者,并诱导用户激活设备管理器,隐藏自身图标,阻止用户轻易卸载。   图为木马发送“报活”短信     图为木马以“清理内存”为由,诱导用户激活设备管理器     图为木马代码截图   2、伪造运行出错提示,要求用户访问www.p***100086.com(冒牌移动网站)登记兑换现金,仿冒移动网站诱导用户输入银行账号重要信息。   图为木马伪造的“错误提示”   点击确定之后,木马打开本机浏览器并访问假冒移动网站:    图为冒牌移动网站   冒牌移动网站载入后弹出虚假弹窗提示“积分可以兑换现金”,点击确定之后进入木马作者伪造的高防页面。可以看到高防页面中除了可以兑换积分外的内容,还有“业务查询”、“业务办理”等内容,而这些链接是链接到wap.10086.cn移动官方网站,木马作者为此可谓是煞费苦心!   图为点击高防页面中“现在就去兑换”之后出现的伪造收款页面,及输入银行账户信息点击下一步之后的页面提示   在该伪造的收款页面中,不仅“支持”储蓄卡收款,而且“支持”信用卡收款。一旦用户对此信以为真,输入页面要求的开户银行、姓名及银行卡号等信息并点击下一步,那信息将会通过网络上传到木马作者指定远端地址,落入木马作者手中。   图为网络截包工具截获仿冒网页上传的内容及上传地址   3、同时利用短信监听服务,拦截并转发新到短信(不包括短信指令),接收木马作者短信指令(短信指令格式为f:xxxx
安卓平台电话拨打权限绕过漏洞(CVE-2013-6272)分析

安卓平台电话拨打权限绕过漏洞(CVE-2013-6272)分析

作者:龚广 1. CVE-2013-6272漏洞背景 CVE-2013-6272是一个安卓平台电话拨打权限绕过漏洞。该漏洞实际上是柏林的安全研究机构curesec在2013年底发现并秘密报告给google的,而并非是某国内团队发现的。Curesec同时也是安卓锁屏绕过漏洞(CVE-2013-6271)的发现者。Curesec于2014年7月4日公开了一个拨打电话相关的漏洞[1],我们对这个漏洞进行了分析。 这个漏洞在android
安卓KeyStore栈溢出漏洞分析(CVE-2014-3100)

安卓KeyStore栈溢出漏洞分析(CVE-2014-3100)

作者:申迪 CVE-2014-3100是安卓平台KeyStore的一个栈溢出漏洞。该漏洞是去年9月IBM的Roee Hay & Avi Dayan发现并秘密报告给Google,并于6月23日被公开[1]。与此同时,Google官方也放出了漏洞测试代码。[2] 近日发现有一些国内媒体以《Android最新漏洞:影响86%用户财产安全》为标题对此漏洞进行了报道。但我们的观点是,该漏洞仅在4.3的系统中存在,而其危害也被媒体有所夸大。 Keystroe是安卓平台的密钥存储服务,4.3以前以Locol