查看: 2681|回复: 13
网银盗号短信远控类木马分析+habo分析报告
ef5a6adc3a
哈勃自动分析报告：
样本下载地址：
该样本伪装成建设银行手机网银升级工具,使用建设银行网银图标,程序安装后，启动首先提示用户增加Admin权限，通过一个内置的浏览器访问网址，该网址是一个专门盗取用户网银账号密码的虚假钓鱼网站,诱骗用户输入账号密码信息,同时拦截用户短信内容，接收控制端发出的短信指令，外发用户短信内容给控制端号码。
APK安装程序启动界面:
安装成功后的桌面图标:
XML文件中定义的内容:
通过XML中注册服务增加android.permission.BIND_DEVICE_ADMIN权限，用来绑定设备管理器。为程序提升Admin权限做准备。
程序启动后，有1个和用户进行交互的Activity,是:
启动函数OnCreate:
该Activity启动后,首先创建一个WebView对象，该对象功能是一个内置的Web浏览器,设置属性，支持加载包含JS脚本的页面.
增加功能接口,用来加载指定的URL对象。
Register函数:
注册一个广播接收器，用来接收类型为com.test.myReceiver的动作，通过该动作来执行用户操作的程序界面。
通过用户操作三个按钮，发送相应的动作广播。
广播接收器的具体操作:
界面有三个功能按钮,当点击主页时,程序通过Webview对象的loadurl接口拉起浏览器访问指定的HomeActivity.URL页面,
该页面指向:
Start函数:
用来启动MsgWatcher服务(后面做分析):
Policy函数:
该功能用来启动设备管理器，给用户提示，由用户选择并激活程序Admin权限，添加了Admin权限的程序，通过系统应用管理器将无法卸载。
通过WebView.loadUrl拉起内置浏览器执行访问假网银盗号钓鱼网站:
根据瑞星官网云安全网址拦截5月8日搜集到的恶意网站信息，该网站是一个冒充建行网银骗取用户账户名和密码的钓鱼网站:
相关链接查询:
注:经过测试目前该链接PC网址和移动网址均无法打开，猜测服务器可能已经关闭了。
MsgWatcher服务代码:
该类中的部分函数代码无法正常反编译成JAVA代码,所以配合Smali代码来做分析:
类里的全局变量暴露了黑客用来接收用户短信和发送短信指令的手机号码，此号码可以通过短信通知更改:
在MsgWatcher类中的OnCreate函数中，创建了MessageHandler对象，并初始化该对象:
调用MsgWatcher类的register方法:
该方法负责注册一个短信广播接收器，用来拦截接收用户短信:
拦截获取用户接收到的短信发件人号码和短信内容,对&86&开头的短信进行过滤:
通过消息传递的方式,调用Handle给指定的号码转发短信和内容:
解析短信内容部分:
由此判断,当中毒手机接收到远程控制端发送的短信内容后，病毒会根据短信内容和特定的格式进行拆分，接收特定的命令。
病毒可以通过接收到的短信内容，解析手机号码，控制端会通知病毒，控制端手机号码已更换，病毒也会做及时调整，和新号码进行短信通信，转发被控端短信内容。
Push函数通过sendMessage发消息，由handleMessage来处理消息
在HandleMessage处理中，会调用send_bind_msg来发送短信内容
给指定号码发送短信内容的功能send函数:
在Handle函数中，发送保存在数据配置文件中的短信号码，其中包括95588号码在内，疑似有向工行发送定制某种网银服务信息的短信。
通过系统配置记录号码内容:
该木马具备网银盗号和短信后门类远控两种特点:
包含一个伪造的建设银行网银登录界面,内置URL访问功能，程序启动后，链接访问钓鱼网站，骗取用户输入账户名密码信息，程序使用建行网银图标。是比较典型的网银盗号功能的木马。
包含短信远程控制功能，控制端可以远程向中毒手机发送特定格式的短信指令，病毒通过拦截用户短信内容，解析指令，执行相应的操作，并且将用户短信内容外发给控制端。从代码的静态分析判断，还有疑似向工行网银发送定制服务短信的功能，并且程序启动后尝试提升Admin权限，防止用户卸载，增加开机自启动功能和权限，是具备比较典型的后门行为。
本帖子中包含更多资源
才可以下载或查看，没有帐号？
感谢提供分享
Baidu Antivirus杀
安全管家杀
chiyin0505
话说，这个样本早就报过了吧，亲测结果，AVL Pro和360能直接查杀安装包，管家要设置为全面扫描才能查杀包
本帖子中包含更多资源
才可以下载或查看，没有帐号？
好压EAVKILL
火绒扫描MISS
Android.Trojan.SMSSend.OO (引擎A)
本帖子中包含更多资源
才可以下载或查看，没有帐号？
Trojan:Android/SmsSend.JO
C:\Users\Eric\Desktop\ef5a6adc3a.rar\ef5a6adc3a
Android.Trojan.SMSSend.OO
C:\Users\Eric\Desktop\ef5a6adc3a.rar
挥泪斩情思
费尔云鉴定为间谍程序
卡巴斯基 下载拦截
Dust-;羅錠
ef5a6adc3a\classes.dex - infected with Android.SmsSpy.79.origin
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,魅族手机收到了一条带病毒的短信,回复了,没打开链接,手机会不会中病毒。怎样看手机有没有中毒呢？_百度知道
魅族手机收到了一条带病毒的短信,回复了,没打开链接,手机会不会中病毒。怎样看手机有没有中毒呢？
魅族手机收到了一条带病毒的短信，回复但没打开链接，手机中毒的概率不大，原因如下：1，普通的诈骗短信以诱骗用户点击短信内链接为手段，用户不点击链接，一般不会出现访问到夹带木马网站、手机被自动下载木马或病毒的情况。2，最新版flyme4.5已经修补了安卓手机的所有漏洞，如果版本较低，有可能被人利用漏洞发送一些高级的代码来入侵手机系统，但这种可能性微乎其微，所以用户需要确定自己的魅族手机flyme版本。注意，为了防范第二种情况的危险，建议用户立即启用安全中心或第三方安全类APP查杀木马病毒，彻底杜绝隐患为佳。
其他类似问题
为您推荐：
你可以到魅族手机自带的安全中心看一下查杀病毒就可以了，一般是不会中病毒的，如果你没有按照他的要求回复你好
其他1条回答
您好，这个不会中毒的。可以用自带的安全中心一键检测来查杀病毒。
魅族手机的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁忠县人收到短信带链接的千万别乱点 有病毒!-社会-忠县-新闻中心-忠县忠州新闻网
忠县人收到短信带链接的千万别乱点 有病毒!
记者&刘强强
&XXX，我是XXX，你昨晚做了什么都上新闻了，你自己下载看看吧，http://6du.in/5j1ve7。&
&XXX，我是XXX，你昨晚做了什么都上新闻了，你自己下载看看吧，http://6du.in/5j1ve7。&
如果你接收到这样的短信或电子邮件，千万不要打开。因为这是一种新型诈骗手段，利用亲朋好友名义和你的好奇心，向你发送的病毒短信或电子邮件。如果你点击了，你的个人信息可能会被盗取，你也可能为此折财。
轻轻一点，1万元不见了
12月12日上午，黄金镇的周先生收到一条短信，内容大致为：我是XXX，照片中的人你认识不？http://t.im/pr0m。
&当时手机流量用完了，我点击后没能打开网页。&周先生说，出于好奇，晚上回家后他连上wifi，进入了网站，但手机防毒软件立马提醒他该网站有木马病毒，他随即退出网站。
第二天上午，周先生到银行办理转账业务时发现，银行卡里的1万元不翼而飞。他通过查询交易记录得知，那晚点击短信中的网址后不到1小时，这张有网银功能的银行卡，被人通过支付宝分12次转走1万元。同时，周先生发现手机出现问题，无法接收短信和打开网页。
随后，周先生报警，并与支付宝客服取得联系，提供相关证明材料后，及时挽回了经济损失。
不明网址勿点，小心被骗
忠县公安局刑警大队民警分析，这类短信和电子邮件均带有木马病毒。点击后，手机会自动安装木马程序监控你的QQ、微信、支付宝、手机网银等，盗取手机内的银行卡信息，通过第三方支付平台盗取钱财。并且，木马程序会偷取通讯录里所有联系人的电话号码，以机主名义群发病毒短信，让更多手机中毒。
警方提醒，像周先生这样能及时找回被盗钱财的属少数，市民遇到此类短信和电子邮件要格外小心。
收到不明来源的网址或二维码，市民千万不要随意点击或扫描，即使是亲朋好友发来的，也要核实清楚。
市民通过短信、QQ、微信等收到后缀名为.apk的文件，不要随意点击、下载和打开。手机里尽量不要存放个人敏感信息，如身份证照片、银行卡账号及密码等。通过正规渠道下载正版手机防毒软件，手机一旦中毒，要及时更改密码并通知相关人员提高警惕。如果上当受骗，要及时向公安机关报警。
类似短信千万不要打开：
1.&XXX你好，这是你孩子开学以来的个人表现和学习报告，你看一下。(网址)&
2.&XXX，这是上次大家聚会的照片，很珍贵的留影，你快看看吧！(网址)&
3.&你竟然做出了这样的事，实在让人不能原谅！(网址)&
4.&看你干的好事，自己看吧！打开，证据都在里面呢！(网址)&
5.&有人在生日管家记录了您的生日，点击了解。(网址)&
6.&渝FXXXXX于市区闯红灯，拟扣6分，罚款200元。请查看违章时间和地点相片(网址)，交警一大队。&
7.&收到信息抽空帮我投个票，谢了！先装再投，地址(网址)。&
8.&&XXX，我是XX，同事朋友准备元旦聚餐，地点详情请看。(网址)&
责任编辑：余小飞不明短信链接带“毒”，勿点！_播报天下_贵阳网
&&&&&&>&&&&&正文
不明短信链接带“毒”，勿点！
来源：呼和浩特日报&&
摘要：一旦手机用户点击链接，潜藏在链接里的木马程序便会安装到手机上，从而窃取手机里的信息，以此造成用户隐私泄露、资费消耗。赵泽斌提醒市民，收到这类带有链接的信息，即使显示是熟人发送的也不要随意点击，可事先与发送信息的本人进行确认。
近日，一则“收到点出自己名字的短信，千万别点短信最后附上的网址，否则会掉进恶意软件设下的陷阱”的微信在朋友圈中广为传播，对此，手机软件维护技师赵泽斌表示，接收到的陌生号码发来的带有网址链接的短信息，使用者最好直接删除掉，切莫点击链接，以免造成不必要的损失。
新型诈骗需谨慎！
微信中称：正在上班的王宁突然收到手机号为“1580203****”发来的一条短信，内容为“王宁都是你干的好事，你自己进去看看就知道是怎么回事了，我实在想不到你会干出这样的事。”随后，同一号码又通过短信发来一个网址http：//t.om/666wjk。疑惑的王宁点击了网址，但连续点了好几次，手机也没什么反应，王宁随后拨打了该手机号码，却一直无人接听，号码显示的属地信息是广东省广州市。几天后，王宁手机通讯录内的亲朋好友们陆续收到了这个手机号码发送的短信息。信息内容均是：“我叫王宁，这是我最好的朋友对我做的事！”也附带了一个网址链接。收到短信的亲友，点击网址链接的，有的随后就收到了要求更改手机密码的信息，有的手机里的保护软件发出了警告。王宁咨询其手机经销售后服务人员得知：这是一种新型的手机诈骗方式，违法行为人通过非法途径获取个人信息后，便会发送短信到手机上，且标题醒目、内容多与手机用户息息相关。一旦手机用户点击链接，潜藏在链接里的木马程序便会安装到手机上，从而窃取手机里的信息，以此造成用户隐私泄露、资费消耗。
赵泽斌告诉记者，此类短信中的网站链接被点击时，木马病毒就潜入手机，它会自动运行手机短信群发功能，向手机通讯录内的联系人再次转发该条病毒短信，传播速度非常快。目前，此类包含恶意软件下载链接的短信传播内容也不断翻新，如“做了坏事被别人掌握了证据”“制作了聚会的相册”“孩子在校犯错”“业务出了问题”等等。
赵泽斌提醒市民，收到这类带有链接的信息，即使显示是熟人发送的也不要随意点击，可事先与发送信息的本人进行确认。如需下载手机软件，尽量选择官方渠道，并安装手机安全软件定期查杀病毒，以防范恶意软件可能对自身造成的隐私信息泄露、财产安全等风险。
（记者 张艳枫）
责任编辑：
青少年创新大赛作品展示、评审；科普讲座；青少年“科学 ...在建设中的贵阳轻轨一号线隧道,施工监测技术员用地质雷达...4月19日，中共中央总书记、国家主席、中央军委主席、中央...4月19日，徐州市人大常委会主任刘忠达率考察团来筑考察生...4月18日，我市举行“第一书记”和同步小康驻村工作2015年...
据知情人爆料，郭采洁近年很积极投资房产，趁房价还未起 ...4月19日，徐静蕾应大家要求，将此前打马赛克的照片重新曝...4月19日下午，林志颖po出一张帅气自拍，称：“难得的晴天...黄子韬表情包　为庆祝黄子韬23岁生日，有媒体举办了脑洞 ...中国将于5月发行印有朴海镇邮票，以及包含个人专属纪念邮...
今天金州勇士队官方发布消息，确认库里右脚踝的MRI结果为...今天，ESPN更新了选秀模拟名单，本-西蒙斯仍然被看好当选...据意大利《天空体育》消息，39岁的罗马“狼王”托蒂极有 ...2016斯诺克世锦赛首轮继续进行，中国小将张安达一度和霍 ...据ESPN的马克-斯特恩报道，奇才和火箭都在追求前雷霆主帅...
现在女孩们都知道，小小一片美瞳，有时候作用大的堪比费 ...转载声明　　本内容系悦己网原创或经官方授权编译转载， ...她是中国超模圈子里认知度最高、好感度最高的超模，和她 ...每个女生的衣橱里都有一件衬衫，然而毫无装饰的基本款衬 ...机车夹克所带来的硬朗质感并不只取决于它的皮质，设计师 ...
为统筹我省城乡义务教育资源均衡配置，昨日省财政厅、省教育厅联合出台《贵州省关于进一步完善城乡义务教育经费保障机制的实 ...[]}