高能预警:丹麦“支付宝”MobilePay被盯上了!

By | 2016年6月28日

移动支付应用的发展不断地便捷人们的日常生活:
购物不用再出门,上某宝就“购”了!
朋友间转账更便捷,点点手指就搞定;
吃饭还用带钱包?用移动支付工具,你的生活不再OUT!

但是移动支付应用给人们带来便捷的同时也带来了极大的安全风险。如果要盗取你电子钱包中的钱财,攻击者一般需要进行哪几步操作?
Step1.窃取移动支付应用的账号、密码
Step2.窃听支付操作相关的短信验证码

当攻击者顺利完成这两步时,你的电子钱包就岌岌可危啦!最近安天AVL移动安全和猎豹移动安全实验室共同截获的SlyRogue病毒,就可以完成以上操作……

丹麦银行MobilePay是丹麦最大的移动支付平台,SlyRogue病毒则是一款针对MobilePay用户窃取该应用账户信息的病毒。该病毒十分狡猾,中毒手机一旦启动官方MobilePay应用,SlyRogue病毒将自动置顶仿冒的MobilePay登录界面,其界面风格仿冒程度足以以假乱真,致使用户可能无法辨别。而不知情用户一旦在此仿冒界面输入账号密码,该信息将立即被攻击者窃取,上述Step1所需的账号密码攻击者轻松GET!

1

同时该病毒还有针对短信的一系列恶意行为,如监听并拦截用户接收的短信,向指定号码发送特定短信等,这些行为让攻击者有可能窃取用户支付相关短信验证码,实现文章开头介绍的第二步。至此,感染用户的MobilePay账户将完全处于攻击者的控制之下。

除了上述恶意行为外,SlyRogue病毒还能根据远程指令完成其他恶意行为,如锁定用户手机和清除手机数据等。通过远程指令,攻击者能更加灵活地实施各类恶意行为,进一步控制中毒手机,极大地威胁用户隐私和财产安全。

激活设备管理器

SlyRogue病毒运行时会请求激活设备管理器,用户一旦激活将导致无法正常卸载该病毒;用户尝试取消激活设备管理时,会自动跳转到设置界面使用户无法取消激活。

2

3

窃取MobilePay账户信息

当用户运行MobilePay时,弹出仿冒的登录界面覆盖真正的登录界面,诱导用户在假界面上输入账号信息登录, 用户点击按钮“send”后,将联网上传用户的cpr号码,手机号,密码,NEMID账号信息到恶意服务器。

4

5

6

擦除用户手机数据

由于SlyRogue病毒激活了设备管理器,该病毒接收到远程服务器发送的指令“hard reset”时,会利用设备管理器在用户不知情的情况下,清除用户手机里的数据信息,恢复到出厂设置。

7

8

锁定用户手机

SlyRouge病毒接收到远程服务器发送的指令“lock”时,会设置手机为静音模式,并置顶一个全屏的系统升级的界面。这时手机就已经被锁定了,按任何按键都没有反应,即使关机重启也无法改变锁定状态。

9

10

总结

SlyRogue病毒主要针对使用丹麦银行MobilePay的用户,从弹出仿冒界面窃取MobilePay账户信息,到针对短信拦截的恶意行为,再到锁定手机、清除数据,这一系列恶意行为足以让恶意攻击者控制中毒手机的MobilePay账户,实施高危恶意操作,窃取钱财并及时销毁证据。

根据SlyRogue病毒的恶意行为,我们可以看到移动支付攻击类病毒的发展趋势: 从之前的键盘记录、到后来的伪冒支付应用、再到目前的监控支付应用并弹出仿冒登录界面,恶意攻击者窃取支付账户信息的方式越来越多样化,且在用户不借助安全工具的情况下难以鉴别和防范;同时后续的恶意行为如锁定用户手机,配合此类病毒实施恶意操作也是一种新的组合方式,这将直接导致在恶意行为实施的关键时刻,用户无法控制自己的支付账户,带来更大的财产威胁。

安全建议

针对SlyRogue系列病毒,AVL Inside系列集成合作方产品以及猎豹系列安全产品已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:

1.请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;

2.安装杀毒软件并在使用移动支付类应用进行金融操作前,使用病毒扫描功能查杀病毒,确保运行环境的安全;

3.如果您的设备已经中了类似病毒,建议您使用Root工具将设备进行Root,使用杀毒软件及时查杀病毒。查杀完成后,如您不再使用Root,请务必使用Root工具取消Root,避免Root权限被滥用带来的设备安全问题。

安天AVL移动安全专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案。2014年,猎豹与安天AVL移动安全团队达成引擎战略合作。

AVL Inside以全球最佳移动反病毒引擎为核心,专注于为企业和厂商伙伴提供针对性的移动终端威胁防护解决方案,如病毒检测、金融安全防护、上网安全防护等安全能力输出。目前已与众多知名厂商达成战略合作,为猎豹、小米MIUI、阿里云YunOS、OPPO、努比亚、步步高、LBE、安卓清理大师、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。

C&C信息

hxxp://85[.]93.5[.]139/?action=command

转载请注明来源:http://blog.avlsec.com/?p=3339

欢迎关注AVL Team官方微信

微信二维码

发表评论

电子邮件地址不会被公开。 必填项已用*标注