APK分析常识和最新技术文章
在为保护我们的客户免受最新移动威胁而进行的持续分析中,我们发现了一个 Android 恶意软件,它伪装成中国著名在线支付应用支付宝的安全功能。经分析,我们发现该虚假应用是恶意短信窃取木马。
由于支付宝广泛的客户群,恶意软件开发人员对瞄准支付宝很感兴趣。
支付宝是第三方在线支付平台,无交易费用,拥有Visa、万事达等超过65家金融机构。在全球范围内,超过 300 家商户使用支付宝。目前支持14种主要外币交易。支付宝也被认为是东方的贝宝。
Fake Ali Security Controls App
Appname(安全控件应用程序标签):SecurityControlPayMd5
:fad55b4432ed9eeb5d7426c55681586c
包名: com.bing.receive
病毒总检测:2/55(分析时)
该应用程序将自己描述为“安全控制”,诱使受害者认为它是增强支付宝安全性的应用程序。安装后,应用程序会自行隐藏,图标也会消失,这是恶意软件保持隐藏状态的常用技术。安装后,恶意软件会注册 Android 服务,这些服务会窃取 SMS 并将其转发到命令和控制 (C&C) 服务器。
技术细节
安装后,该应用程序显示为支付宝组的一部分。
应用程序图标 |
一旦受害者尝试使用该应用程序,它就会显示一个介绍性屏幕,并被编程为在 3 秒后消失。在这种情况下,屏幕和图标都消失了。
介绍画面 |
受害者可能认为该应用程序一定有问题,并被 Android 操作系统隐式删除。Lesser 知道恶意软件在后台被激活并通过服务完成其任务。
Android 服务是可以在后台运行并在用户不知情的情况下执行长时间运行的任务的组件。以下是恶意软件使用和定义的服务:
我的服务
交易服务
测试服务
该恶意软件还同时注册了少量广播接收器。广播接收器是 Android 组件,它在激活它们注册的特定事件时起作用。
以下是恶意软件注册的接收者:
系统引导接收器
按摩接收器(注意错字 - 按摩而不是消息)
屏幕接收器
恶意软件的MainActivity函数 隐藏图标并启动名为 MyService 的服务。
主要活动 |
一旦 MyService 启动,它就会启动其他任务并注册 SystemBootReceiver 和 MassageReceiver。
我的服务服务 |
MassageReceiver 是一个广播接收器,只要收到 SMS 就会触发。它的 主要任务是查找任何传入的 SMS 消息并获取其详细信息。获取详细信息后,它会调用 DealService 并将 SMS 数据与呼叫一起传递。
MassageReceiver 广播接收器 |
DealService的任务是从接收方获取 SMS 消息并将其发送到 C&C 服务器。它启动一个异步任务(AsyncTask,如下图所示) ,然后以 POST 请求的形式将消息转发到 C&C 服务器。
获取 SMS 和 POST 请求 |
SMS 详细信息使用 POST 请求发送到 C&C 服务器,如下面的屏幕截图所示。不幸的是,C&C 服务器在分析期间已被关闭,因此无法获取与活动相关的更多详细信息。
SMS数据发送到CnC |
与 MassageReceiver 一起, 另一个名为 SystemBootReceiver 的接收器通过确保始终实现恶意软件的动机,在恶意软件的持久性方面发挥着重要作用。
SystemBootReceiver 是一个广播接收器,它会在每次系统重启时自行触发。
它的主要任务是确保 MyService 启动并运行。每次重新启动时,它都会启动 MyService ,如下所示:
系统引导接收器 |
恶意软件开发者的主要动机是从受害者的手机中收集短信。恶意软件作者的最终目标目前尚不清楚,但我们将积极寻找该活动的踪迹。
恶意软件的工作流程:
工作流程 |
缓解措施
我们始终建议我们的客户和所有人不要信任来自未知方的应用程序,而只从可信赖的官方应用程序商店下载项目,例如 Google 的 Playstore。
支付宝提供的唯一官方应用如下图所示。没有提到任何名为AliPay-Security Controls的应用程序。
Playstore - 官方支付宝应用 |
删除
由于恶意软件不要求管理员权限,因此删除它并不是一项艰巨的任务。
受害者可以遍历 Android 设备中的“设置” 选项。
设置 --> 应用程序
在列表中找到应用程序并单击它
然后,点击 卸载 选项
点击 确定
我们敦促用户不要相信通过消息或电子邮件收到的任何未知链接。此外,禁用设备设置 下的“未知来源”选项 。这将不允许安装来自未知来源的应用程序。
上一篇:Android短信木马病毒的分析