谨防“钓鱼应用”盗取帐号

By | 2014年2月25日

AVL移动安全团队最近发现一例“钓鱼应用”,其伪装成QQ、淘宝、支付宝、Email的登录界面,窃取用户的帐号,并且上传用户隐私信息,给用户的在线帐号带来极大的盗号风险。

样本分析

该“钓鱼应用”伪装成电池修复专家:

337B9688-155E-4877-A77D-4C180A7D14EE

伪装登录界面

下面以QQ为例解释其伪装登录界面过程,当木马后台Service检查到当前运行的为

com.tencent.qq或者com.tencent.mobileqq时,会弹出一个伪造的登录界面。 真实的QQ登录界面,如图所示登录界面所属的Activity:

FC3954A2-6347-448E-96CB-886438905CEE31C75177-7524-4039-9896-4A21E8ABC941

木马伪造的登录界面,由TestQq所属:

FC4DD82C-4685-4FEB-8A35-2E5EFE8B5DABC65B00E5-BD7D-41EA-BC53-0AF079D712D3

可以看到木马伪造的登录界面几乎以假乱真,用户凭肉眼很难识别真伪。 从动态行为日志可以看到木马将截获到的QQ号码和登录密码写入本地的qq.txt文件,并且发送到指定邮箱: D2EED7A2-915E-4E1D-ABB2-7CD6F15252D3

木马除了盗取QQ账户信息外,还会盗取淘宝、支付宝及邮箱帐号:

35486A08-882F-4DEC-8485-F583FA9B4A96

短信指令控制

木马通过监听短信箱,实现短信指令的远程控制并执行对应的行为,短信指令格式以cd_wolf开头,后面跟随控制指令和对应控制信息:

短信指令控制行为描述
config设置配置信息,例如指定的发送、接收邮箱账户信息等
send发送短信内容或者通话记录
everyday配置每天上传参数
r_st启动定时器
r_sp停止定时器
time_amr设置定时器时间
getxlh获取Device ID
setzcm是否是指定Device ID的机器
destroy格式化SD卡

通过上表可以看到木马具备一套非常完善的控制方式,其还具备格式化指定机器SD卡的危险行为。

其他行为

木马除了以钓鱼为目的和支持短信指令控制外,还窃取用户手机内的大量隐私信息并上传,例如短信内容、联系人信息、通话记录、手机地理位置、照片库等等,并且还具备私自拍照录音功能。

用户可以安装AVL移动安全团队AVL Pro对此木马进行查杀

发表评论

电子邮件地址不会被公开。 必填项已用*标注