首页安全播报安全快讯 › 手机支付毒王“银行悍匪”恶意行为技术大揭秘

手机支付毒王“银行悍匪”恶意行为技术大揭秘

2014-01-10

病毒名:a.rogue.Meitu.c

近日,基于腾讯手机管家产品服务的腾讯移动安全实验室截获了一款高危手机支付类手机病毒a.rogue.bankrobber.[银行悍匪]引起了广泛关注,央视也做了新闻曝光并提醒用户提高警惕。由于该病毒会诱导窃取20多家银行、淘宝支付账号密码等信息,攻击国内主流手机安全软件,具有强化保护难卸载等流氓特征,危害极大,堪称得上是手机支付病毒的“毒王”。该病毒有很严密的逻辑性,作者非常熟悉手机安全现状和技术细节,判断是由资深黑客发布,下面我们来全面了解一下该病毒的技术原理。

首先,先总体了解一下a.rogue.bankrobber.[银行悍匪]的病毒特征:诱导用户安装恶意子程序,子程序安装后无图标,强迫用户激活设备管理器,静默卸载手机杀毒软件,隐藏在后台窃取手机信息和银行卡、支付账号信息,同时窃取用户短信和删除短信,私自发送短信,给用户造成隐私泄露以及资费消耗。

一、母程序捆绑恶意子程序诱导安装

该病毒是由母程序(简称:母包)和子程序(简称子包)组成,母包中含有恶意子包。母包通常伪装成热门游戏如100个任务、坦克大战等,通过游戏软件需要安装资源包等方式诱导用户安装和启动恶意子包。子包是核心的恶意程序,会进一步诱导用户激活设备管理器,安装后隐藏图标,卸载杀毒软件,监控指定Activity页面,窃取用户银行账户信息、私自发送短信、删除用户短信等等。

母包和子包相关代码树截图如下:

图:病毒恶意代码树

病毒母包复制病毒子包到/data/data//files文件目录

进一步诱导用户安装一个伪装成系统程序“Android”的病毒子包,相关代码片段、病毒样本跑机截图如下

病毒成功安装后,会发送通知短信到指定的145开头的手机号码通知黑客,并在系统后台偷偷启动恶意子包程序。

若安装不成功则会反复诱导用户安装

二、极强的防卸载能力、强制安装流氓行为

首先,病毒子包安装后隐藏子包程序图标,让普通用户难以找到对应程序

病毒子包进一步要求激活设备管理器,起到保护自己的目的

而且恶意反复激活设备管理器,如果用户不配合激活,将持续不断弹窗提示,直到用户妥协为止,非常流氓。

病毒程序会进一步检查手机是否具备ROOT权限,以便后续继续作案

启动监控日志,通过Log监控打开系统打开页面防止用户卸载读取ActivityManager:I类型Log监控指定页面打开

被监控打开的Activity页面,一旦打开相关页面直接返回手机HOME页,从而达到防卸载目的

为了防止用户卸载病毒,其会静默卸载各类手机杀毒软件包括腾讯手机管家,金山卫士,杀毒,安全管家,360卫士等等

此外,当用户想通过设备管理器、应用程序列表等中卸载掉该应用时,软件会主动返回到手机桌面

三、病毒窃取手机信息和银行卡、支付账号密码

盗取银行账户、手机支付等信息,监视20多家银行以及淘宝支付宝等,分别为:农业银行,招商银行,广发银行,兴业银行,邮储银行,南京银行,中信银行,光大银行,民生银行,浦发银行,平安银行,广州农商银行,重庆银行,中国银行,华夏银行,湖州银行,上海银行,青岛银行,泰隆银行,四川银行,杭州银行,昆仑银行等等

检测当前手机页面是否为指定的手机银行应用页面,如果是则终止相关银行应用进程。

与此同时,弹出虚假银行页面,诱导用户输入银行账户信息

诱导用户输入账户信息页面代码

记录用户相关账户、密码信息

并将读取到的账号密码数据放到对应的数据库

监控手机收发短信,将用户短信同时存储到本地数据库,同时偷偷发送用户账户信息到指定的手机号码,进一步删除用户短信内容会话,掩盖作案线索。

病毒删除用户短信相关代码

四、相关建议和应对举措

由于a.rogue.bankrobber.[银行悍匪]是一款危害性极大的手机病毒,用户需提高警惕。由于该病毒打包到一些热门应用和游戏中,并散布在各大手机论坛、非安全电子市场提供给用户下载。建议用户不要到这些渠道去下载应用和游戏,尽可能到软件官网或安全的电子市场进行下载。另外安装专业手机安全软件也是非常必要,目前腾讯手机管家已经支持该病毒查杀。

安全快讯 更多

BadMedia木马家族

BadMedia木马家族

2017-11-14
双11网购诈骗安全报告

双11网购诈骗安全报告

2017-11-10
2017Q3手机安全报告

2017Q3手机安全报告

2017-11-06

安全视频 更多

小管说安全(3)——谣言有毒

2017-10-24

腾讯手机管家产品经理笑唱安全报告

2017-08-16

腾讯手机管家微信小程序可一键识别诈骗电话啦!

2017-08-02