数码控科技猎奇Iphone动漫星座游戏电竞lolcosplay王者荣耀攻略allcnewsBLOGNEWSBLOGASKBLOGBLOGZSK全部技术问答问答技术问答it问答代码软件新闻开发博客电脑/网络手机/数码笔记本电脑互联网操作系统软件硬件编程开发360产品资源分享电脑知识文档中心IT全部全部分类全部分类技术牛文全部分类教程最新网页制作cms教程平面设计媒体动画操作系统网站运营网络安全服务器教程数据库工具网络安全软件教学vbscript正则表达式javascript批处理更多»编程更新教程更新游戏更新allitnewsJava新闻网络医疗信息化安全创业站长电商科技访谈域名会议专栏创业动态融资创投创业学院 / 产品经理创业公司人物访谈营销开发数据库服务器系统虚拟化云计算嵌入式移动开发作业作业1常见软件all电脑网络手机数码生活游戏体育运动明星影音休闲爱好文化艺术社会民生教育科学医疗健康金融管理情感社交地区其他电脑互联网软件硬件编程开发360相关产品手机平板其他电子产品摄影器材360硬件通讯智能设备购物时尚生活常识美容塑身服装服饰出行旅游交通汽车购房置业家居装修美食烹饪单机电脑游戏网页游戏电视游戏桌游棋牌游戏手机游戏小游戏掌机游戏客户端游戏集体游戏其他游戏体育赛事篮球足球其他运动球类运动赛车健身运动运动用品影视娱乐人物音乐动漫摄影摄像收藏宠物幽默搞笑起名花鸟鱼虫茶艺彩票星座占卜书画美术舞蹈小说图书器乐声乐小品相声戏剧戏曲手工艺品历史话题时事政治就业职场军事国防节日风俗法律法规宗教礼仪礼节自然灾害360维权社会人物升学入学人文社科外语资格考试公务员留学出国家庭教育学习方法语文物理生物工程学农业数学化学健康知识心理健康孕育早教内科外科妇产科儿科皮肤科五官科男科整形中医药品传染科其他疾病医院两性肿瘤科创业投资企业管理财务税务银行股票金融理财基金债券保险贸易商务文书国民经济爱情婚姻家庭烦恼北京上海重庆天津黑龙江吉林辽宁河北内蒙古山西陕西宁夏甘肃青海新疆西藏四川贵州云南河南湖北湖南山东江苏浙江安徽江西福建广东广西海南香港澳门台湾海外地区

有了短信验证你的钱到底是怎么被强刷走的 警惕手机木马

来源:脚本之家  责任编辑:小易  

本以为有了手机短信验证应该很安全了,没想到银行卡里的钱还是能被刷走,关键是一条短信都没收到。到底是怎么回事?原来是手机木马搞得鬼,很多奇怪的第三方软件作为木马拦截你的短信,发送到黑客的邮箱,然后转走你的钱不就是分分钟的事?各位不是大神的同志们,还是在安全的地方下载应用吧。还好我用的IOS,并且没有越狱。

故事梗概

今年端午节特意动用带薪年假,在家本着远离黑客,远离江湖,舒舒服服和家人享受几天假期,谁知却早已深陷江湖。

6月11日中午叔叔找上门,说自己的银行卡莫名被盗刷了8万1千元,钱被打到了平安付科技服务有限公司客户备付金,以及同样摘要为平安的广州银联网络支付有限公司客户备付金,如下图:

图片1.png

于是上网搜了一下平安付科技这家公司得到如下信息:

图片2.png

图片3.png

图片4.png

平安付科技本身是一个第三方的支付平台接口,钱转到平安付科技账上后可以用来投资、理财等,赶紧给平安付科技客服去了个电话,客服那边问了相关信息后却让等3天才能给结果,这服务态度~(此时叔叔已经在当地刑警队报案)。

我仔细推敲了这个事情,钱是被打到平安付的旺财上,对方需要绑定银行卡,需要用到的信息有:银行卡、身份账号、银行预留的手机号码、短信验证码。前面的信息都容易掌握(目前网络上有大量的泄露的银行卡号、身份证号、手机号等信息)况且叔叔每次和客户打款时也会把自己的银行卡号、身份证号发给对方,所以这些信息默认早就泄露了,这里的关键是如何得到的短信验证码,且通过图1可以看出,犯罪分子利用平安付转走了4比钱,且最后一笔1000元都没有放过,说明对方掌握了此张银行卡的余额信息。

到这里总结出了两点:对方掌握了1.手机号码实时短信验证码2.银行卡的余额信息。想到这里最先想到的是短信木马了。于是拿出他的手机,查看短信权限时赫然看到了短信权限处存在一个叫做“校讯通”的应用,安装日期正是6月10日。由于叔叔的孩子还在上中学所以经常会收到相关校讯通的短信,他10日当天正好收到了一条提示安装校讯通的短信,也没有多想就直接安装上了。

图片5.png

到这里事情的起因已经很接近了,很可能是这是一个木马程序窃取了他的短信内容,叔叔满脸质疑,丝毫不相信这样的事情也会发生他自己身上。

于是我继续访问这个ip地址,浏览器直接弹出提示下载校讯通.apk

图片6.png

拿到此APK后当立即开始分析(职业病又犯了,哎,我好好的端午节假期),这里发现这个版本的校讯通安卓木马程序已经进行了升级,与以往的此类程序多了很多新功能:增加了远程更改配置功能和呼叫转移功能,可以更改收信手机号码或发信帐号的密码,并能够呼叫转移联通和移动用户电话。

本次分析的样本特征值:


复制代码代码如下:</p> <p><code>Type: X.509
Version: 3
Serial Number: 0x936eacbe07f201df
Issuer: EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US
Validity: from = Fri Feb 29 09:33:46 CST 2008
to = Tue Jul 17 09:33:46 CST 2035
Subject: EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US
MD5 Fingerprint: E8 9B 15 8E 4B CF 98 8E BD 09 EB 83 F5 37 8E 87
SHA-1 Fingerprint: 61 ED 37 7E 85 D3 86 A8 DF EE 6B 86 4B D8 5B 0B FA A5 AF 81
SHA-256 Fingerprint: A4 0D A8 0A 59 D1 70 CA A9 50 CF 15 C1 8C 45 4D 47 A3 9B 26 98 9D 8B 64 0E CD 74 5B A7 1B F5 DC</code></p> <p>


用来接收受害人短信的邮箱账号密码:

图片7.png

进入邮箱看了一眼,满眼都是泪,进去的时候此邮箱还在不停的接收着来自各地受害人的短信的邮件:

木马程序发送的受害人手机上所有的短信内容:

图片8.png

受害人手机上的通讯录,此木马提取被害人通讯录后会利用伪造的号码继续向通讯录好友发送伪装成校讯通的木马安装短信,从而继续扩大安装范围:

图片9.png

受害人手机第一次感染运行后发来的上线信息:

图片10.png

搜索了一下平安关键词,果然找到了绑定平安付等第三方支付的短信内容:

图片11.png

图片12.png

图片13.png

当然除了平安付平台外还有支付宝等:

图片14.png

这里要特别给支付宝的企业责任精神点个赞,我第一时间联系了这位受害人,受害人被盗走的钱中通过支付宝划走的这一份部分已经得到全额赔付,而平安付的这笔仍然还在等待中。

第一次启动激活

asw6eih.vby.MainActivity

1.申请系统管理员权限

图片47.png

2.设置完毕之后检查是否有了相应的权限,即是否被用户接受。

图片48.png

3.设置默认处理软件为当前App软件

图片49.png

之后检查是否被设置为默认处理软件。

图片50.png

我们注意到了下面这一行代码,这里的作用就是被设置为默认短信处理应用后就有权限拦截短信了:

图片51.png

而且在短信处理的Service中也确实发现了拦截的代码(SmsReciver):

图片52.png

通过BroadCast方式进行短信拦截仅在安卓4.4之前的版本有效,此时我们发现了针对安卓4.4版本,木马作者写了一个特殊的服务类:SmsReceiver4_4专门针对安卓4.4的版本。

4.设置短信监听

图片53.png

asw6eih.vby.MainService

在用户启动应用的时候,不仅仅启动了一个Activity让用户做出一些响应,还启动了一个服务。

图片54.png

图片55.png

 此时看邮箱里有不少中招的内容,如下所示,均来自该自动启动的服务:

 

图片56.png

图片57.png

上一页12 下一页 阅读全文

  • 本文相关:
  • android平台的sql注入漏洞浅析(一条短信控制你的手机)
  • 手机木马盗取网银过程大揭秘 验证码短信尤为关键
  • 手机里的信息到底安不安全?手机数据泄露大揭秘
  • 你的手机有没有root? root后的手机漏洞防不胜防
  • 让手机炸弹不在神秘
  • 手机病毒的剖析与防治
  • 手机短信验证码安全吗 警惕手机短信木马
  • 免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved