鬼手之刃

MD5: a8300e18aca3b40337c728c82b4d896b

病毒名:Android.Troj.SmsThief.cy

包名:com.kk.liushiwu.com.zz

病毒行为描述:该病毒安装后注册设备管理器防止卸载,安装后隐藏桌面图标。黑客通过短信指令,以短信形式将,手机通讯录,手机短信内容发送给指定的手机号,并且还能控制手机发送任意指定内容给指定号码(例如给运营商发送sp定制业务,向指定的亲朋好友发送诈骗短信)。

1.利用伪基站向周边用户发送短信,短信中包含钓鱼网站。

image002 2

2.点击现在就去兑换后,弹出出提示框要求填写收款信息,继续点击,要求用户输入银行卡号和密码等敏感信息。

3     image007

3.通过网络抓包发现:

用户输入的姓名,银行卡号,取款密码,身份证号,手机号等敏感信息会上传到http://jin-10086.com/submit.asp 服务器

image009

image011

4.将银行卡号,密码等信息上传服务器后,会提示用户下载客户端领取现金。

客户端

5.下载的恶意软件会启动恶意服务

下载

6.涉及敏感权限

image017image018

image020

7.注册设备管理器,防止卸载,安装成功后通过短信通知黑客软件已经运行。

image022

激活

8.在br服务的onstart方法中发送短信,通知黑客软件已经激活。

image026image028

9.pr和fr两个接收器分别用于监听短信和来电。

A)接收器pr监控短信。

image030image032

短信指令

短信指令 指令含义 危害
lxr 获取通讯录 隐私泄露
sydx 获取所有的短信内容(收发) 隐私泄露
xxxfsdyyyy 向xxx发送短信yyyy 可发送付费短信或向亲朋诈骗
zzzzpb# 屏蔽pb#之前的来电号码zzzz 向亲朋发送诈骗短信,并屏蔽亲朋的确认来电

image034

image036

删除包含指令的短信

image038

B)接收器fr监控来电。通过短信获取要屏蔽的号码

image040

image042

image043

image045

10.感染量

近一周的感染量平均每天在2000人左右。

11.诈骗流程图

image047

总结:骗子先利用伪基站,向用户发送钓鱼短信,诱骗用户登录钓鱼网站骗取银行卡号,密码,身份证,姓名,手机号等信息,并诱骗用户下载安装病毒应用,病毒会通过短信指令来上传用户的通讯录,短信内容信息,利用这些信息对联系人进行诈骗。在诈骗过程中会在中毒手机上屏蔽被骗人的电话,导致无法向中毒用户确认,以增加成功率。

猎豹安全实验室提醒广大用户,遇到此类短信时要仔细分辨是否为官方网站,不要轻易在网站上输入自己的银行卡密码,身份证等个人敏感信息,并及时下载猎豹清理大师或猎豹安全大师进行杀毒

此条目发表在安全分类目录。将固定链接加入收藏夹。