06月17, 2014

“假面银贼”木马分析报告

作者:王玺 以淘宝“卡单”、“账户冻结”、“订单失败”等为借口的电信诈骗层出不穷。6月16日,360安全中心再次截获以“订单失败”为由的淘宝木马。此木马图标及应用界面,高度伪装手机淘宝,以订单失败需要退款为由,骗取用户姓名,手机号,身份证号,银行卡号信息,并将这些信息通过短信发送到木马作者指定的号码,同时该木马转发所有手机收到的短信到此号码,转发后用户不会再收到手机新来短信的提示。这样木马作者,就能得到用户手机收到的淘宝发送来的验证码或动态密码,进而通过修改淘宝和支付宝的账号密码来窃取用户的钱财。再次提醒网民,请通过360手机助手等正规应用市场来下载应用。目前360安全卫士已全面查杀此木马。

image1

木马行为分析: 安装后图标和应用界面高度伪装淘宝:

image2

木马伪装的图标

image3

木马启动后伪装的界面

木马启动后,用户会被诱导,并按照界面的提示一步步的输入,手机号,姓名,身份证号,银行卡号。最后点“立即退款”提示退款“正在处理”。

未命名1111

而此时,木马将用户输入的这些信息全部通过短信发送到了15322547438这个号码上:

当用户点击界面1上“点击立即查询”按钮,会转发一条短信,内容格式“null:用户输入的手机号”

当用户点击界面3上“立即退款”按钮,也会转发一条短信,内容格式 “null:姓名:身份证号:银行卡号”

代码如下:

点击界面1上“点击立即查询”按钮,发送用户输入的号码

image5

点击界面3上“立即退款”按钮,发送姓名,身份证号,银行卡号 image6

所有短信发送共用一个方法:

image7

木马安装时,会申请短信接收和发送的权限,并注册短信接收服务:

image8

通过此服务拦截并转发短信,转发的短信格式为“短信来源号码:短信内容” 例如: 用户手机收到来自淘宝发送的验证码短信 短信来源号码:“106575258192” 短信内容:“【淘宝网】亲,您正在进行找回密码操作,切勿将验证码泄露于他人,如验证码泄露会有账号被盗风险。验证码:123456。” 木马就会将此短信转发,并且不会给用户任何提示 发送的目标号码:“15322547438” 短信内容:“106575258192:【淘宝网】亲,您正在进行找回密码操作,切勿将验证码泄露于他人,如验证码泄露会有账号被盗风险。验证码:123456。” 代码如下:

image9

image7

通过上述方法,木马作者拿到用户手机号,姓名,身份证号及银行卡号,会通过淘宝网站“忘记密码”、“找回密码”等服务,请求重置密码,并将实时获取淘宝发送到用户手机上的各种验证码或动态密码,进而就能成功修改用户登陆密码及支付密码,盗取用户支付宝和淘宝中的钱财。

本文链接:http://blogs.360.cn/post/analysis_of_faketaobao_2.html

-- EOF --

Comments