追踪 | “中国移动”App 竟然是锁机病毒,幕后主使是一名高中生“黑客”
副标题[/!--empirenews.page--]
本文原标题《Trick蠕虫病毒来袭!幕后主使竟是一名高中生“黑客”!》,作者:安天AVL&小米安全中心,转载自安天AVL移动安全团队公众号,小编()已获授权转载。 近期,安天AVL移动安全团队和小米MIUI安全中心发现一款携带勒索功能的拦截马Trick,经过样本溯源发现,该病毒竟出自国内一名高中生之手。该病毒伪装成中国移动,以免费获取话费的短信诱惑用户下载安装。 该病毒运行后会执行以下恶意行为:
病毒运行流程图如下: Trick病毒程序运行后,首先获取用户手机中的所有短信,以邮件正文的形式上传至指定邮箱,同时还会将短信内容写入txt文件中,通过邮箱上传,邮件标题为“短信”。 通过对Trick病毒样本的溯源,我们发现了该恶意开发者的邮箱信息,在邮箱中发现大量感染用户的隐私信息,其中以各类短信验证码最为常见。 虽然该病毒样本本身并没有窃取用户账户信息的功能,但是考虑到目前大量的隐私信息被泄露,恶意开发者极有可能通过其他渠道获取到感染手机QQ、微信、银行卡账户等信息,后续通过短信拦截马执行解绑、改密、转账等操作。
运行后,Trick病毒会诱导用户激活设备管理器,若用户成功激活设备管理器,则会提示用户重启软件: 激活设备管理器后,Trick病毒会弹出虚假对话框,提示虚假信息“程序异常已自动卸载”,并隐藏启动图标。 Trick病毒隐藏图标后继续在后台运行监听系统接收短信的广播。接收到主控手机187********发来的短信,解析此短信内容发现它会执行以下操作: 指令1:锁机锁机指令即是对用户手机进行锁定,全屏置顶一个勒索的界面,要求用户联系QQ2038******有偿解锁。 短信指令即通过解析主控手机发送的短信,获取要发送的内容和号码,并控制用户手机在后台发送。 指令3:群发群发指令即遍历用户手机中所有联系人进行短信群发,短信内容为“http://pre.im/ZxI2下载登录进去填我邀请码156941 可以领话费我已经领了30”。该网址下载的就是其自身应用,当前该链接已失效。 该应用的图标为中国移动,配合钓鱼短信内容,恶意诱导性极强。 5.实时上传短信Trick病毒通过监听系统接收短信的广告,将非主控手机发送的短信通过邮件实时上传,邮件标题为“小伟拦截马”。 6.卸载程序锁机Trick病毒运行后会启动设备管理器,用户卸载应用之前必须先取消激活设备管理器。一旦监测到用户执行取消激活设备管理器的操作时,该病毒会直接将用户手机锁屏并勒索,勒索界面与以上锁机界面相同: 7.第三方推送服务(编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |