您的位置: 网界网 > 网络学院-软件 > 正文

“伪中国移动客户端”――伪基站诈骗

2014年07月17日 09:45:36 | 作者:佚名 | 来源:51CTO

摘要:近日,百度安全实验室发现一款“伪中国移动客户端”病毒,犯罪分子通过伪基站方式大量发送伪10086的短信,诱导用户点击钓鱼链接;并在钓鱼页面诱导用户输入网银账号、网银密码、下载安装“伪中国移动客户端”病毒;该病毒会在后台...

标签
病毒
钓鱼
伪基站

一、简介:

近日,百度安全实验室发现一款“伪中国移动客户端”病毒,犯罪分子通过伪基站方式大量发送伪10086的短信,诱导用户点击钓鱼链接;并在钓鱼页面诱导用户输入网银账号、网银密码、下载安装“伪中国移动客户端”病毒;该病毒会在后台监控用户短信内容,获取网银验证码。 黑客通过以上方式获取网银账号、网银密码和网银短信验证码后,完成窃取网银资金。

伪基站发送的伪10086短信

498)this.width=498; onmousewheel = javascript:return big(this) alt="" width="308" height="136" src="http://img.blog.csdn.net/20140605112914328" />

图1. 伪10086短信

诱导用户领取现金红包界面

498)this.width=498; onmousewheel = javascript:return big(this) alt="" width="376" height="661" src="http://img.blog.csdn.net/20140605112921828" /> 

图2.诱导用户领取现金红包

二、钓鱼流程:

498)this.width=498; onmousewheel = javascript:return big(this) alt="" width="935" height="663" src="http://img.blog.csdn.net/20140605112926875" /> 

图3. 钓鱼流程图

三、伪移动客户端代码分析

1、该病毒启动后即诱导用户激动设备管理器,激活后隐藏图标,导致卸载失败,且用户不易察觉。 

498)this.width=498; onmousewheel = javascript:return big(this) alt="" width="187" height="340" src="http://img.blog.csdn.net/20140605112931234" /> 

图4. 启动界面

2、使用apktool 、dex2jar反编译伪移动客户端均失败;代码进行了APKProtect保护,阻止了反编译软件,难以被反编译逆向分析。 

498)this.width=498; onmousewheel = javascript:return big(this) alt="" width="636" height="646" src="http://img.blog.csdn.net/20140605112936312" /> 

图5. apktool 反编译失败 

498)this.width=498; onmousewheel = javascript:return big(this) alt="" width="638" height="581" src="http://img.blog.csdn.net/20140605112940937" /> 

图6. dex2jar反编译失败

该病毒代码进行了“APKProtect”保护。 

498)this.width=498; onmousewheel = javascript:return big(this) alt="" width="417" height="150" src="http://img.blog.csdn.net/20140605113251296" /> 

图7. APKProtect保护

3、脱壳后代码结构: 

498)this.width=498; onmousewheel = javascript:return big(this) alt="" width="196" height="218" src="http://img.blog.csdn.net/20140605113256656" /> 

图8

4、点击应用图标启动后,病毒发送通知短信到13651823521,短信内容包含手机型号、安装时间,并隐藏图标,导致用户不易察觉。 

498)this.width=498; onmousewheel = javascript:return big(this) alt="" width="871" height="196" src="http://img.blog.csdn.net/20140605112946843" /> 

图9. 发送通知短信并隐藏图标

5、该病毒拦截网银验证码,并窃取短信转发到指定号码13651823521:

498)this.width=498; onmousewheel = javascript:return big(this) alt="" width="681" height="277" src="http://img.blog.csdn.net/20140605112951562" />

图10. 窃取短信内容

四、目前,这种钓鱼诈骗的方式比较盛行,已经有用户被盗刷网银,中国移动也对这种方式进行了警惕说明。 

498)this.width=498; onmousewheel = javascript:return big(this) alt="" width="221" height="406" src="http://img.blog.csdn.net/20140605112957125" /> 
498)this.width=498; onmousewheel = javascript:return big(this) alt="" width="218" height="474" src="http://img.blog.csdn.net/20140605113044000" /> 

图11. 中国移动官网提醒用户警惕“积分兑换现金”诈骗短信!

[责任编辑:孙可 sun_ke@cnw.com.cn]

我也说几句

热点排行