07月18, 2014

仿冒移动“积分兑换服务”木马分析

作者:石浩然

概述

继前不久360安全中心截获仿冒淘宝以“订单失败”为由进行诈骗的木马“假面银贼”之后,近日360安全中心又截获了仿冒移动“积分兑换服务”以“移动积分可兑换现金”为由诱导用户输入个人银行卡号、身份证、手机号码等信息,并将这些信息通过网络上传到木马作者指定的远端地址。同时该木马激活设备管理器(阻止用户轻易卸载木马程序),隐藏图标后台拦截并转发新到短信、接收木马作者短信指令发送任意短信内容到任意号码,从而用户存在银行的钱财会在“悄无声息”的情况下被木马作者洗劫一空。360安全中心提醒网民,请通过360手机助手等正规应用市场下载应用。目前360已全面查杀该木马:

image1

木马作恶过程分析 1、木马运行后,发送报活短信通知木马作者,并诱导用户激活设备管理器,隐藏自身图标,阻止用户轻易卸载。

image2

图为木马发送“报活”短信

image3

图为木马以“清理内存”为由,诱导用户激活设备管理器

image4

图为木马代码截图

2、伪造运行出错提示,要求用户访问www.p***100086.com(冒牌移动网站)登记兑换现金,仿冒移动网站诱导用户输入银行账号重要信息。

image5

图为木马伪造的“错误提示”

点击确定之后,木马打开本机浏览器并访问假冒移动网站:

image6 image7

图为冒牌移动网站

冒牌移动网站载入后弹出虚假弹窗提示“积分可以兑换现金”,点击确定之后进入木马作者伪造的高防页面。可以看到高防页面中除了可以兑换积分外的内容,还有“业务查询”、“业务办理”等内容,而这些链接是链接到wap.10086.cn移动官方网站,木马作者为此可谓是煞费苦心!

image8 image9

图为点击高防页面中“现在就去兑换”之后出现的伪造收款页面,及输入银行账户信息点击下一步之后的页面提示

在该伪造的收款页面中,不仅“支持”储蓄卡收款,而且“支持”信用卡收款。一旦用户对此信以为真,输入页面要求的开户银行、姓名及银行卡号等信息并点击下一步,那信息将会通过网络上传到木马作者指定远端地址,落入木马作者手中。

image10

图为网络截包工具截获仿冒网页上传的内容及上传地址

3、同时利用短信监听服务,拦截并转发新到短信(不包括短信指令),接收木马作者短信指令(短信指令格式为f:xxxx n:zzzz,zzzz为要发送的短信内容,xxxx为要发往的短信号码),发送任意短信内容到指定号码。

image11

图为木马的短信监控代码

至此木马作者便可以通过已经掌握的用户银行账户信息及控制用户手机的短信能力,利用“找回密码”修改用户银行交易密码,获取用户支付验证码短信等一系列方式,将用户存在银行的钱财洗劫一空,而用户因为无法收到银行的提醒短信,对此还一无所知。

本文链接:http://blogs.360.cn/post/analysis_of_fakeoperator.html

-- EOF --

Comments