Monthly Archives: 七月 2014

病毒播报之流氓勒索

Post by Partrick

AVL移动团队近期发现了一种能混淆本地通讯录号码、铃声静音、拦截所有来电的具有敲诈和勒索的一款app,同时当该程序被最小化或者进程结束的时候还会无限启动自己,给用户正常体验造成一定的影响。

程序启动界面:

 

以上提示信息大致内容如下:

下载并安装此应用后,您的手机因违反俄罗斯民法而被封锁。如需解锁手机,您必须在48小时以内支付1000卢比,否则您手机的所有数据将被永久销毁。

请按照以下方式完成支付:1 请到银行支付终端通过VISA支付。2 输入79660625015,点确认后继续输入您的账号和密码。3 完成支付后您的手机将在N天内被解锁。

程序运行后文本框要输入正确的指令,否则输入错误就会触发混淆本地号码,拦截所有电话,以及静音操作。

混淆的手机联系人号码如下:

该程序伪装成游戏软件能够拦截所有来电,当用户在文本框输入”123″的时候则不拦截所有来电,否则拦截。

当用户输入123的时候,本软件即将失效,没有任何功能,并且无法打开。

 该样本使用另类的手法进行敲诈勒索,使用户无法正常拨打电话和接收电话,对用户常用的功能造成一定的影响,用户可以下载安装AVL Pro对该类木马进行检测和查杀,AVL Pro实时防护,帮助大家摆脱病毒营造良好手机环境!

警惕手机钓鱼网站植入木马—电信篇

Post by saya

AVL移动安全团队在先前的《警惕手机钓鱼网站植入木马》一文中曾披露了一类伪装成移动掌上营业厅的钓鱼wap站点,用来诱骗用户填入身份证号、银行账户等重要身份信息,并且诱导用户下载安装木马应用,以便进一步攻击的行为。

而近期我们再次捕捉到一个手机钓鱼站点”www.**189.com”,其伪装成电信掌上营业厅,诱骗用户填入身份证号、银行账户等重要身份信息,并且诱导用户下载安装木马应用。

运行Android客户端应用,会诱导用户激活设备管理器,并伪造来自1000的积分兑换短信,利用社会工程学使其不敢轻易卸载,并隐藏图标,于后台屏蔽短信、上传至指定服务器

与此同时,还捕获到另外一个域名为”www.**-10000.com”形式的电信掌上营业厅钓鱼网站:

用户可以下载安装AVL Pro对该类木马进行检测和查杀。。

另类指令获取—Androidpn推送

Post by saya

AVL移动团队近期发现了一种使用Androidpn推送指令的远控间谍软件,该程序伪装成系统应用、诱导用户激活设备管理器,根据推送获取的指令来进行上传通话记录、通话录音、环境录音、联系人、短信箱、地理位置等隐私信息,并能执行修改短信箱内容、私发短信、拦截短信、屏蔽来电等操作,窃取用户隐私、影响手机的正常体验。

android push notification原理(源自Androidpn界面截图):

向用户手机客户端push消息(源自Androidpn界面截图):

登录xmpp服务器,获取消息指令(源自Androidpn界面截图):

远控模块流程:

491

006

此外,该应用能接收指令,私自修改替换短信箱中的内容。。

该样本使用少见的Androidpn推送方式来获取指令,相对更为隐蔽,加上多种窃取隐私信息,尤其修改短信箱内容功能更为罕见。用户可以下载安装AVL Pro对该类木马进行检测和查杀,AVL Pro实时防护,帮助大家摆脱病毒营造良好手机环境!

更独特隐蔽的隐私窃取—web服务器

Post by 南山

AVL移动安全团队最近发现一种利用轻量级web服务器jetty来窃取用户隐私的方式,在浏览器中访问特定的url,即可获取用户隐私信息。

工作方式:

在目标手机上设置jetty服务器后,通过浏览器等请求特定的URL,可获取目标手机上的资源,包括隐私信息等。

架构如下:

获取用户隐私信息对应的url路径:

007

该木马通过将目标手机变成服务器后,通过url请求获取手机上的任意资源,造成用户隐私泄露,这种方式更为独特而隐蔽。用户可以下载安装AVL Pro对该类木马进行检测和查杀,AVL Pro实时防护,帮助大家摆脱病毒营造良好手机环境!

病毒播报之远程锁屏与擦除

post by fish_yu

AVL移动团队最近发现了一种会远程控制的间谍软件,该间谍程序安装无图标,不仅可以通过远程短信指令控制擦除手机数据,锁屏,设置飞行模式,还会获取用户地理位置信息及通话记录,短信记录等,窃取用户隐私,危害个人信息安全。

锁屏界面如下所示。

短信指令列表及含义:

info

回复SIM卡信息和当前位置

find

持续播放铃声,按停止后终止

force

一直播放铃声,不可终止

position

上传当前地理位置

gps

获取GPS精确位置,若GPS未开启,则获取网络定位位置

history

获取通话和短信记录

lock

远程锁定设备和设置解锁密码

airplane

远控开启飞行模式(用于获取SIM卡的PIN码)

wipe

擦除手机所有个人数据:短信/彩信,联系人,SD卡和通话记录

弹出锁屏界面

飞行模式

擦除设备信息。

该木马通过短信指令控制不仅可以远程控制手机还能获取用户个人隐私,危害较大。用户可以下载安装AVL Pro对该类木马进行安装前的检测和查杀,AVL Pro实时防护,帮助大家摆脱病毒营造良好手机环境!

病毒播报之短信自动传播

post by fish_yu 

近日我司破获一例恶意盗取通讯录私发推广链接的病毒。该病毒会悄悄获取手机通讯录信息,并向前20名联系人发送一个推广链接,若点击链接并安装,会立即感染。该病毒传播范围呈金字塔递增趋势迅速扩大!

以下是动态捕获的短信触发情况,其中可以看到该木马会遍历联系人并向其发送推广链接:http://goo.gl/f62y65

该木马会获取联系人信息并存入变量users中,然后获取前20名联系人,并向其发送短信,包含推广链接,进行恶意推广。若接收短信联网下载感染继续向手机联系人发送短信,呈金字塔递增趋势,传播范围极大。

该木马通过联系人传播可以实现爆发式的递增,传播范围极广,影响极大。用户可以下载安装AVL Pro对该类木马进行安装前的检测和查杀,AVL Pro实时防护,帮助大家摆脱病毒营造良好手机环境!

自我销毁木马分析报告

Post by markseven

AVL移动团队最近发现了一种会卸载自己的间谍软件,还会尝试获取Root权限,以及监控通话录音、GPS地理位置信息、聊天软件、特定号码信息、邮箱记录等隐私信息。

样本分析

样本的基本信息

包名

com.android.system

应用程序名称

系统

动态分析

样本首次运行时,会显示用户设置的界面,类似远程控制应用的界面。配置完成后样本则自动隐藏。

功能分析

样本在运行时,会接受”暗号”手机发送的指令短信,并拦截该指令短信。从配置文件当中获取参数的配置信息,根据配置信息来执行相应的远程控制功能(打开/关闭 GPS ,打开/关闭GPRS ,删除安装目录文件,获取通讯录信息),并将获取的信息通过邮箱发送到用户设置的监控邮箱。

参数

功能

key_gps

开启GPS

key_openGRPS

开启移动数据

key_closeGRPS

关闭GPRS

key_delete

删除安装目录文件

key_getlist

获取通讯录信息

key_unstall

卸载自身

update

更新

样本尝试延时卸载自己。

程序还会监听用户使用主流IM(易信,微信,QQ,陌陌,YY)时的聊天记录。

在程序的getRuning2方法当中,会检测当前置顶的应用的Activity信息。

程序判断如果是主流要监控的应用,就会在后台进行截屏。

小结

该木马是一个功能齐全的远控指令木马,不仅能窃取各方面的隐私,还能尝试获取root权限,更可以卸载自身,此类行为无疑极大的降低了被安全软件发现的风险,而使用户手机面临更大的威胁。

用户可以使用AVL移动安全团队AVL Pro对此间谍应用进行查杀。