【文章摘要】最近,在苹果手机上暴露出严重的问题,恶意应用可以借助IOS系统的漏洞,伪装成正常的应用劫持用户输入的隐私数据,并且发送到黑客的服务器上。
最近,在苹果手机上暴露出严重的问题,恶意应用可以借助IOS系统的漏洞,伪装成正常的应用劫持用户输入的隐私数据,并且发送到黑客的服务器上。事实上,这种“伪装+钓鱼”的恶意应用在安卓平台上也大量存在。近日,哈勃文件分析系统就捕捉到一类这样的“李鬼”应用。
一、传播途径:
伪装成支付类应用,诱导用户下载安装。
安装图标:
二、恶意行为分析:
应用一启动,首先激活设备管理器,提示用户给该应用激活admin权限,诱骗用户进行提权操作:
然后,应用会隐藏桌面上的图标,只要应用被执行成功一次,桌面图标就被隐藏了。
接下来,应用会给用户展示一个带有欺骗功能的用户输入界面:
紧接着,应用会给指定的手机号码发送短信,通知木马已经成功安装,当黑客接收到此短信时,已经获取到了被控手机的手机号码信息。
然后,应用会隐藏桌面上的图标,只要应用被执行成功一次,桌面图标就被隐藏了。
接下来,应用会给用户展示一个带有欺骗功能的用户输入界面:
当用户在虚假的界面内输入姓名,身份证号码,银行名称,卡号,联系电话这些敏感信息,用户点击按钮后,都按照指定格式发送到控制端手机,从而让黑客窃取用户的网银账号信息。
同时,应用会注册了一个短信监听器,专门负责拦截用户短信内容。如果发现是控制端发来的短信内容,这类短信会通过监听器筛选,执行对应的控制指令之后,对短信进行删除。这样就达到了神不知鬼不觉地控制用户手机的目的。
同时,应用会注册了一个短信监听器,专门负责拦截用户短信内容。如果发现是控制端发来的短信内容,这类短信会通过监听器筛选,执行对应的控制指令之后,对短信进行删除。这样就达到了神不知鬼不觉地控制用户手机的目的。
总结:该木马病毒通过提权,隐藏桌面图标,删除短信,伪装成支付宝应用程序,构造虚假登录界面,诱骗用户填写网银账号,手机号码等敏感信息,并且能获取所有手机收发的短信内容,黑客获得此类信息后,可能会进行挂失补办受害人的银行卡或者进行其它金融诈骗等行为操作,给用户带来财产损失,隐私泄露等严重安全威胁。
三、查杀:
电脑管家可以对木马进行提示和清除:
哈勃文件分析系统能够对该类样本进行安全警示:
哈勃文件分析系统能够对该类样本进行安全警示: