【请查看您孩子的综合评分】——黑客利用家长爱子心切敛财
发布时间:2017-07-11   作者:启明星辰

2017年7月7日晚,启明星辰金睛安全研究团队接到有用户反馈接收到了一条恶意短信。

 

 

 

在点击短信中的恶意链接后,会下载一个名为“学生综合评分”的apk文件。经过分析,该文件为窃取手机短信,通信录等敏感信息的窃密木马。

 

 

样本简要分析


1.查看AndroidManifest.xml,可以发现其中定义了监听设备管理器激活状况的接收器。

 

 

2.跟进函数中可以看到,onEnabled函数和onDisabled是分别监控是否激活设备管理器的函数。

 

 

3.病毒激活设备管理器页面

 

 

4.遍历受害者的短信列表,通讯录,并添加到短信内容当中。

 

 

5.将自身设置成默认短信应用。

 

 

6.用户取消默认短信应用,则会发一个短信给作者。

 

 

7.病毒利用了Android内容观察者的短信拦截功能。当发送短信时,会将短信拦截并发送到黑客邮箱。并且当系统收到新的短信时,内容观察者会发出广播信号,并将新收到的短信拦截并直接发送给黑客,使得黑客可以实时获取到受害者的短信。

 

 

8.病毒还使用了abortBroadcast()来阻断手机接收短信,防止被害者察觉。

 

 

9.当样本执行完上述操作后,还会给被害者通讯录中的联系人发送恶意短信,进行下一步的传播。

 

 

10.黑客截获的短信,通信录都被转发到了其内置的一个189邮箱中。

 

 

11.以下为使用启明星辰天阗APT产品的安卓动态沙箱产生的样本分析报告:

 

 

再来一段中招者分析


我们使用病毒内嵌的账号密码登陆了作者的邮箱。发现了大量中招者,邮箱中上传了中招者的电话簿以及短信。

 

 

我们对这些中招者的地域分布进行了统计,统计结果发现:本次事件中北京的受害者居多:

 

 

从中招者的历史短信内容分析得出,基本都包含与学校相关的短信,因此可以判断大多数中招者都是家长。这也和病毒发送的恶意短信内容有关。
在分析过程中,我们发现了黑客利用窃取来的短信、通信录等信息进行盗刷银行卡的犯罪线索。总的来看,黑客只需用户的银行卡号及被木马控制的关联手机即可实现盗刷。我们已第一时间将相关情报提交国家有关部门处理。

 

 

攻击溯源


我们通过样本关联分析,查找到了其他黑客曾经注册过的恶意域名,但发现相关whois信息都做了隐藏或者使用了虚假信息。

 

 

从其接收窃取的短信和通信录邮箱历史登陆记录中,我们发现犯罪分子可能位于广西南宁。

 

 

防范建议

1.不要点击不明来源的(尤其是短信中的)链接,不要下载安装来源不明的各种应用。


2.不要在短信、通信录中透露自己的各种敏感信息(姓名,银行卡号,身份证号等),以免被木马截取。


3.当发现手机在接收金融类短信(验证码,扣费短信等)存在异常时,应第一时间检查银行账户是否存在异常。


4.安装具有权限控制的安全软件,对于需要申请读取发送短信,读取通信录等权限的可疑应用予以严格限制。


VenusEye金睛安全研究团队


VenusEye金睛安全研究团队是启明星辰集团检测产品本部从事专业安全分析的技术型团队,主要职责是对现有产品上报的安全事件、样本数据进行挖掘、分析,并向用户提供专业的分析报告。

 

金睛团队会依据数据产生的威胁情报,对其中采用的各种攻击技术做深入的跟踪与分析,并给出专业分析结果、提出专业建议,为用户决策提供帮助。团队成立至今,先后发布了《海德薇Hedwig组织分析报告》、《Locky密锁攻击恶意样本分析报告》、《2016年度监测数据分析报告》等数十份专业安全分析报告。

文章来源:/
  • 公司总部 | 分支机构 | 法律声明 | 投资者关系 | 400-624-3900 800-810-6038
  • © 启明星辰1996-2015 版权所有 京ICP备05032414号 京公网安备110108003435号