|
近期實驗室發(fā)現(xiàn)一款“支付寶大盜”病毒��。該病毒通過二次打包嵌入到正常應(yīng)用中���,病毒運行后��,自動在后臺偷偷上傳手機上的所有短信�,并且當手機收到新短信時�,該病毒會判斷短信內(nèi)容中是否包含“支付寶”、“淘寶”�、“taobao”、“銀”�����、“行”、“農(nóng)信”等關(guān)鍵字��,如果包含���,該病毒將會屏蔽此類金融支付類短信�����。
該病毒樣本有以下兩點需要安全分析人員注意:
1�����、采用“梆梆加固”加固惡意代碼��,防止分析人員靜態(tài)分析和動態(tài)調(diào)試���。
該病毒為了逃避逆向分析和安全廠商病毒檢測����,通過“梆梆加固”的保護來達到防止逆向分析和動態(tài)調(diào)試的目的。加固服務(wù)提供商需要加強對待加固應(yīng)用的安全審計���,以免被惡意開發(fā)者利用�。
2、惡意代碼+社會工程學配合攻擊實現(xiàn)竊取支付寶資金的目的����。
獲取用戶手機號和身份證號碼
通過對惡意代碼調(diào)用邏輯的分析,該病毒針對的就是支付寶���。但是僅僅通過攔截短信時無法攻破支付寶的安全體系的�����。
在對該惡意樣本分析過程中�,安全人員發(fā)現(xiàn)一個未被調(diào)用的“釣魚”Activity��。該Activity通過Webview加載構(gòu)建的Html頁面��,誘騙用戶輸入姓名����、身份證號、手機號等敏感信息����,當點擊“立即認證”后,該頁即發(fā)送用戶輸入的真實姓名��、手機號碼、身份證號等信息到惡意服務(wù)器���。頁面截圖如下:
但是這部分代碼并未被調(diào)用��,身份證號是支付寶找回登錄密碼和重置支付密碼必須提供的信息�����,那么惡意攻擊者是如何達到盜取支付寶錢財?shù)哪?���?接下來安全分析人員接到的一個來自00909007980打來的電話才解開謎團:
“我這里是人民法院���,有您一張法院的傳票�,***撥9人工幫助”
“請告訴我您的姓名�,幫助你查詢是否有您的傳票”
“….”
“請告訴我您的身份證號,以確認傳票是您本人的”
“…..”
"請留下您的常用郵箱.."
"...."
這個詐騙電話的效果和“釣魚Activity”實現(xiàn)了相同的功能���。如果惡意攻擊者通過詐騙電話成功拿到了身份證號,接下來就可以配合惡意代碼�����,突破支付寶的安全防線了:
|
