Monthly Archives: 六月 2016

高能预警:丹麦“支付宝”MobilePay被盯上了!

移动支付应用的发展不断地便捷人们的日常生活:
购物不用再出门,上某宝就“购”了!
朋友间转账更便捷,点点手指就搞定;
吃饭还用带钱包?用移动支付工具,你的生活不再OUT!

但是移动支付应用给人们带来便捷的同时也带来了极大的安全风险。如果要盗取你电子钱包中的钱财,攻击者一般需要进行哪几步操作?
Step1.窃取移动支付应用的账号、密码
Step2.窃听支付操作相关的短信验证码

当攻击者顺利完成这两步时,你的电子钱包就岌岌可危啦!最近安天AVL移动安全和猎豹移动安全实验室共同截获的SlyRogue病毒,就可以完成以上操作……

丹麦银行MobilePay是丹麦最大的移动支付平台,SlyRogue病毒则是一款针对MobilePay用户窃取该应用账户信息的病毒。该病毒十分狡猾,中毒手机一旦启动官方MobilePay应用,SlyRogue病毒将自动置顶仿冒的MobilePay登录界面,其界面风格仿冒程度足以以假乱真,致使用户可能无法辨别。而不知情用户一旦在此仿冒界面输入账号密码,该信息将立即被攻击者窃取,上述Step1所需的账号密码攻击者轻松GET!

1

同时该病毒还有针对短信的一系列恶意行为,如监听并拦截用户接收的短信,向指定号码发送特定短信等,这些行为让攻击者有可能窃取用户支付相关短信验证码,实现文章开头介绍的第二步。至此,感染用户的MobilePay账户将完全处于攻击者的控制之下。

除了上述恶意行为外,SlyRogue病毒还能根据远程指令完成其他恶意行为,如锁定用户手机和清除手机数据等。通过远程指令,攻击者能更加灵活地实施各类恶意行为,进一步控制中毒手机,极大地威胁用户隐私和财产安全。

激活设备管理器

SlyRogue病毒运行时会请求激活设备管理器,用户一旦激活将导致无法正常卸载该病毒;用户尝试取消激活设备管理时,会自动跳转到设置界面使用户无法取消激活。

2

3

窃取MobilePay账户信息

当用户运行MobilePay时,弹出仿冒的登录界面覆盖真正的登录界面,诱导用户在假界面上输入账号信息登录, 用户点击按钮“send”后,将联网上传用户的cpr号码,手机号,密码,NEMID账号信息到恶意服务器。

4

5

6

擦除用户手机数据

由于SlyRogue病毒激活了设备管理器,该病毒接收到远程服务器发送的指令“hard reset”时,会利用设备管理器在用户不知情的情况下,清除用户手机里的数据信息,恢复到出厂设置。

7

8

锁定用户手机

SlyRouge病毒接收到远程服务器发送的指令“lock”时,会设置手机为静音模式,并置顶一个全屏的系统升级的界面。这时手机就已经被锁定了,按任何按键都没有反应,即使关机重启也无法改变锁定状态。

9

10

总结

SlyRogue病毒主要针对使用丹麦银行MobilePay的用户,从弹出仿冒界面窃取MobilePay账户信息,到针对短信拦截的恶意行为,再到锁定手机、清除数据,这一系列恶意行为足以让恶意攻击者控制中毒手机的MobilePay账户,实施高危恶意操作,窃取钱财并及时销毁证据。

根据SlyRogue病毒的恶意行为,我们可以看到移动支付攻击类病毒的发展趋势: 从之前的键盘记录、到后来的伪冒支付应用、再到目前的监控支付应用并弹出仿冒登录界面,恶意攻击者窃取支付账户信息的方式越来越多样化,且在用户不借助安全工具的情况下难以鉴别和防范;同时后续的恶意行为如锁定用户手机,配合此类病毒实施恶意操作也是一种新的组合方式,这将直接导致在恶意行为实施的关键时刻,用户无法控制自己的支付账户,带来更大的财产威胁。

安全建议

针对SlyRogue系列病毒,AVL Inside系列集成合作方产品以及猎豹系列安全产品已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:

1.请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;

2.安装杀毒软件并在使用移动支付类应用进行金融操作前,使用病毒扫描功能查杀病毒,确保运行环境的安全;

3.如果您的设备已经中了类似病毒,建议您使用Root工具将设备进行Root,使用杀毒软件及时查杀病毒。查杀完成后,如您不再使用Root,请务必使用Root工具取消Root,避免Root权限被滥用带来的设备安全问题。

安天AVL移动安全专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案。2014年,猎豹与安天AVL移动安全团队达成引擎战略合作。

AVL Inside以全球最佳移动反病毒引擎为核心,专注于为企业和厂商伙伴提供针对性的移动终端威胁防护解决方案,如病毒检测、金融安全防护、上网安全防护等安全能力输出。目前已与众多知名厂商达成战略合作,为猎豹、小米MIUI、阿里云YunOS、OPPO、努比亚、步步高、LBE、安卓清理大师、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。

C&C信息

hxxp://85[.]93.5[.]139/?action=command

转载请注明来源:http://blog.avlsec.com/?p=3339

欢迎关注AVL Team官方微信

微信二维码

假借知名应用植入恶意模块,披着羊皮的“狼”来了!WarThunder远程控制木马预警

         近期,安天AVL移动安全和猎豹移动安全实验室共同截获一款名为WarThunder的远程控制木马程序。该病毒将恶意模块植入知名应用以诱骗用户下载并实施远程控制中毒设备的恶意操作。正如披着羊皮的“狼”, WarThunder假借知名应用的外壳正到处招摇撞骗,目前已有上万用户感染此病毒。

        WarThunder一旦被不知情用户安装到手机中,会在用户解锁手机屏幕或手机电池电量、网络发生变化时,任性自启运行。该病毒运行后会尝试与远程服务器通信获取远程控制指令,根据指令完成一系列远程控制恶意行为,如上传用户的短信和联系人等隐私信息、控制用户的手机向指定号码发送指定短信、拦截包含指定字段的短信或指定号码的短信并转发到指定号码、推送虚假消息诱导用户点击访问安全性未知的网络链接等。

         如巫婆的魔法棒一般,WarThunder可以通过远程控制服务器发送任意指令,对肉机(受控手机)进行任意的操作,用户在不知情下将有可能遭受重大损失。

1.知名应用植入恶意模块

         通过分析发现一些知名应用部分版本当中已被植入了WarThunder病毒的恶意模块,其中包含有“UC浏览器” ,“腾讯视频”,“AVG Cleaner”等国内外的主流应用(详细见附录)。被植入恶意模块的应用程序包结构如下图所示。

图1-1

图 1被植入恶意模块的应用程序包结构

2.恶意行为分析

        WarThunder病毒的恶意行为完全依赖于远程控制服务器的指令来完成执行。恶意模块启动后通过socket方式与远程控制服务器建立连接,并接收远程控制服务器发送的控制指令信息。根据指令数据内容的不同可以对受害用户手机执行以下高危险的远程控制操作:拦截并转发短信,利用通知栏向用户推送虚假消息,控制用户手机向指定号码发送指定短信,设置远程控制服务器主机地址,上传用户的短信和联系人重要隐私信息。

        指令的数据流格式以2A、3A 、4A开头。2A开头的数据指令执行主要远程的控制行为,相关的控制指令信息在2A后续的JSON数据当中。3A,4A开头的指令控制将用户手机设置为静音,非震动的模式。详细的指令数据信息如下表所示:

图2-2

2.1拦截并转发指定短信

         WarThunder病毒运行后会在/data/data/<packagename>/databases/目录下创建“tasked.db”数据库文件,同时创建数据库表“keytable”。该病毒接收到远程控制服务器发送来的指令信息后,将拦截短信的指令参数解析出来保存到数据表“keytable”中。当受害用户手机接收到短信后,该病毒根据表“keytable”中的关键词或者指定号码拦截相关的短信,并将相关的短信转发到指定手机号码。

图3-3

图 2 keytable表字段说明

tu 4-4

图 3拦截短信

2.2通知栏推送虚假通知

         恶意模块接收到远程控制服务器发送的带有”title”,” content”,“url”数据信息的指令时,将在受害用户手机的通知栏创建带有应用程序自身图标的虚假通知消息,诱导用户点击访问由指令设定的网络链接。其中“title”表示通知栏的标题,“content”表示通知栏的正文信息,“url”表示通知栏信息被点击时访问的链接。

图5-5

图 4 通知栏推送虚假通知

2.3远程控制发送短信

         恶意模块接收到远程控制服务器发送的带有“sn”,“sm”数据信息的指令时,将控制受害用户手机私自向指定号码发送指定短信,同时将包含执行结果和指令编号的信息联网回传到远程控制服务器。

图6-6

图 5 向指定号码发送指定短信

2.4动态更新远程控制服务器

        恶意模块在运行时还会解析指令信息中的“host”字段,以获取更新后的远程控制服务器地址,并将新的远程控制地址保存在受害用户手机的/data/data/<packagename>/shared_ prefs/preferences.xml配置文件中。动态更新恶意服务器地址使得WarThunder病毒具备更加灵活的远程控制能力,并能够更长时间潜伏在用户手机。

图7-7

图 6 更新远程控制服务器

3.恶意程序危害性

         安天AVL移动安全和猎豹移动安全实验室通过对WarThunder病毒的网络通信数据包进行分析,发现远程控制服务器仍然有活性,能够与恶意模块建立连接并持续发送心跳数据;远程控制服务器与恶意模块建立连接后还会收集受害用户的设备固件信息,但并未向恶意程序模块发送远程控制指令相关信息。

图8-8

图 7 上传用户设备信息、发送心跳的网络通信数据

         从WarThunder病毒当前统计数据来看,被植入病毒的应用仍然有大量用户安装使用。当前WarThunder病毒虽然没有实际较大恶意性的远程控制行为但仍具有潜在危害性。若远程控制服务器能够正常发送控制指令,WarThunder病毒将具有很强的攻击能力,极大可能会造成用户的隐私泄露,甚至是资产损失。比如:利用拦截指定的短信可能会对用户的银行验证码短信、支付宝验证码短信等网银、支付隐私短信进行拦截、转发并上传,对用户的财产造成危害;利用通知栏推送虚假消息并诱导用户点击钓鱼网站或者恶意应用下载地址;控制大量的受害用户形成“移动僵尸网络”,向更多的号码发送欺诈、诱骗短信造成更多的用户受害。

4.安全建议

        针对WarThunder系列病毒,AVL Inside系列集成合作方产品以及猎豹系列安全产品已经实现全面查杀。安天AVL移动安全和猎豹移动安全实验室提醒您:

        1.请保持良好的上网习惯,不要在非官方网站或者不知名应用市场下载任何应用;

        2.安装杀毒软件并经常使用病毒扫描功能及时清除恶意山寨应用。

         安天AVL移动安全专注于移动互联网安全技术研究及反病毒引擎研发,为合作伙伴提供强大的移动安全解决方案。2014年,猎豹与安天AVL移动安全团队达成引擎战略合作。

         AVL Inside以全球最佳移动反病毒引擎为核心,专注于为企业和厂商伙伴提供针对性的移动终端威胁防护解决方案,如病毒检测、金融安全防护、上网安全防护等安全能力输出。目前已与众多知名厂商达成战略合作,为猎豹、小米MIUI、阿里云YunOS、OPPO、努比亚、步步高、LBE、安卓清理大师、AMC等合作伙伴提供移动反恶意代码能力,为全球过亿终端用户保驾护航。

附录

C&C相关信息

329[.]gku2267[.]com:21

217[.]gku2267[.]com:8890

444[.]aahhjg[.]com:8890

110[.]aahhjg[.]com:8890

q321[.]adfegc[.]com:8890

q123[.]adfegc[.]com:8890

Laji[.]adfegc[.]com:8890

z001[.]adfegc[.]com:8890

q002.adfegc[.]com:8890

q001[.]adfegc[.]com:8890

111[.]adfegc[.]com:8890

222[.]adfegc[.]com:8890

333[.]adfegc[.]com:8890

q444[.]adfegc[.]com:8890

555[.]adfegc[.]com:8890

666[.]adfegc[.]com:8890

部分植入WarThunder病毒的应用信息

图9-9

转载请注明来源:http://blog.avlsec.com/?p=3298

微信二维码