有了短信驗證你的錢到底是怎么被強刷走的 警惕手機木馬

本以為有了手機短信驗證應(yīng)該很安全了,沒想到銀行卡里的錢還是能被刷走,關(guān)鍵是一條短信都沒收到。到底是怎么回事?原來是手機木馬搞得鬼,很多奇怪的第三方軟件作為木馬攔截你的短信,發(fā)送到黑客的郵箱,然后轉(zhuǎn)走你的錢不就是分分鐘的事?各位不是大神的同志們,還是在安全的地方下載應(yīng)用吧。還好我用的IOS,并且沒有越獄。
故事梗概
今年端午節(jié)特意動用帶薪年假,在家本著遠離黑客,遠離江湖,舒舒服服和家人享受幾天假期,誰知卻早已深陷江湖。
6月11日中午叔叔找上門,說自己的銀行卡莫名被盜刷了8萬1千元,錢被打到了平安付科技服務(wù)有限公司客戶備付金,以及同樣摘要為平安的廣州銀聯(lián)網(wǎng)絡(luò)支付有限公司客戶備付金,如下圖:
于是上網(wǎng)搜了一下平安付科技這家公司得到如下信息:
平安付科技本身是一個第三方的支付平臺接口,錢轉(zhuǎn)到平安付科技賬上后可以用來投資、理財?shù)龋s緊給平安付科技客服去了個電話,客服那邊問了相關(guān)信息后卻讓等3天才能給結(jié)果,這服務(wù)態(tài)度~(此時叔叔已經(jīng)在當?shù)匦叹爤蟀福?/p>
我仔細推敲了這個事情,錢是被打到平安付的旺財上,對方需要綁定銀行卡,需要用到的信息有:銀行卡、身份賬號、銀行預(yù)留的手機號碼、短信驗證碼。前面的信息都容易掌握(目前網(wǎng)絡(luò)上有大量的泄露的銀行卡號、身份證號、手機號等信息)況且叔叔每次和客戶打款時也會把自己的銀行卡號、身份證號發(fā)給對方,所以這些信息默認早就泄露了,這里的關(guān)鍵是如何得到的短信驗證碼,且通過圖1可以看出,犯罪分子利用平安付轉(zhuǎn)走了4比錢,且最后一筆1000元都沒有放過,說明對方掌握了此張銀行卡的余額信息。
到這里總結(jié)出了兩點:對方掌握了1.手機號碼實時短信驗證碼2.銀行卡的余額信息。想到這里最先想到的是短信木馬了。于是拿出他的手機,查看短信權(quán)限時赫然看到了短信權(quán)限處存在一個叫做“校訊通”的應(yīng)用,安裝日期正是6月10日。由于叔叔的孩子還在上中學所以經(jīng)常會收到相關(guān)校訊通的短信,他10日當天正好收到了一條提示安裝校訊通的短信,也沒有多想就直接安裝上了。
到這里事情的起因已經(jīng)很接近了,很可能是這是一個木馬程序竊取了他的短信內(nèi)容,叔叔滿臉質(zhì)疑,絲毫不相信這樣的事情也會發(fā)生他自己身上。
于是我繼續(xù)訪問這個ip地址,瀏覽器直接彈出提示下載校訊通.apk
拿到此APK后當立即開始分析(職業(yè)病又犯了,哎,我好好的端午節(jié)假期),這里發(fā)現(xiàn)這個版本的校訊通安卓木馬程序已經(jīng)進行了升級,與以往的此類程序多了很多新功能:增加了遠程更改配置功能和呼叫轉(zhuǎn)移功能,可以更改收信手機號碼或發(fā)信帳號的密碼,并能夠呼叫轉(zhuǎn)移聯(lián)通和移動用戶電話。
本次分析的樣本特征值:
Version: 3
Serial Number: 0x936eacbe07f201df
Issuer: EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US
Validity: from = Fri Feb 29 09:33:46 CST 2008
to = Tue Jul 17 09:33:46 CST 2035
Subject: EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US
MD5 Fingerprint: E8 9B 15 8E 4B CF 98 8E BD 09 EB 83 F5 37 8E 87
SHA-1 Fingerprint: 61 ED 37 7E 85 D3 86 A8 DF EE 6B 86 4B D8 5B 0B FA A5 AF 81
SHA-256 Fingerprint: A4 0D A8 0A 59 D1 70 CA A9 50 CF 15 C1 8C 45 4D 47 A3 9B 26 98 9D 8B 64 0E CD 74 5B A7 1B F5 DC</code></p> <p>
用來接收受害人短信的郵箱賬號密碼:
進入郵箱看了一眼,滿眼都是淚,進去的時候此郵箱還在不停的接收著來自各地受害人的短信的郵件:
木馬程序發(fā)送的受害人手機上所有的短信內(nèi)容:
受害人手機上的通訊錄,此木馬提取被害人通訊錄后會利用偽造的號碼繼續(xù)向通訊錄好友發(fā)送偽裝成校訊通的木馬安裝短信,從而繼續(xù)擴大安裝范圍:
受害人手機第一次感染運行后發(fā)來的上線信息:
搜索了一下平安關(guān)鍵詞,果然找到了綁定平安付等第三方支付的短信內(nèi)容:
當然除了平安付平臺外還有支付寶等:
這里要特別給支付寶的企業(yè)責任精神點個贊,我第一時間聯(lián)系了這位受害人,受害人被盜走的錢中通過支付寶劃走的這一份部分已經(jīng)得到全額賠付,而平安付的這筆仍然還在等待中。
第一次啟動激活
asw6eih.vby.MainActivity
1.申請系統(tǒng)管理員權(quán)限
2.設(shè)置完畢之后檢查是否有了相應(yīng)的權(quán)限,即是否被用戶接受。
3.設(shè)置默認處理軟件為當前App軟件
之后檢查是否被設(shè)置為默認處理軟件。
我們注意到了下面這一行代碼,這里的作用就是被設(shè)置為默認短信處理應(yīng)用后就有權(quán)限攔截短信了:
而且在短信處理的Service中也確實發(fā)現(xiàn)了攔截的代碼(SmsReciver):
通過BroadCast方式進行短信攔截僅在安卓4.4之前的版本有效,此時我們發(fā)現(xiàn)了針對安卓4.4版本,木馬作者寫了一個特殊的服務(wù)類:SmsReceiver4_4專門針對安卓4.4的版本。
4.設(shè)置短信監(jiān)聽
asw6eih.vby.MainService
在用戶啟動應(yīng)用的時候,不僅僅啟動了一個Activity讓用戶做出一些響應(yīng),還啟動了一個服務(wù)。
此時看郵箱里有不少中招的內(nèi)容,如下所示,均來自該自動啟動的服務(wù):
相關(guān)文章
Android平臺的SQL注入漏洞淺析(一條短信控制你的手機)
14年11月筆者在百度xteam博客中看到其公開了此前報告給Google的CVE-2014-8507漏洞細節(jié)——系統(tǒng)代碼在處理經(jīng)由短信承載的WAP推送內(nèi)容時產(chǎn)生的經(jīng)典SQL注入漏洞,影響Android2016-02-01手機木馬盜取網(wǎng)銀過程大揭秘 驗證碼短信尤為關(guān)鍵
360手機安全中心接到大量用戶舉報,稱其遭受短信詐騙,被騙金額多數(shù)以萬計。最終都是因為用戶中招后,驗證碼被木馬偷偷轉(zhuǎn)發(fā)到不法分子手機中。2015-09-21手機里的信息到底安不安全?手機數(shù)據(jù)泄露大揭秘
如果你給自己的手機設(shè)置了PIN碼,甚至忘記了連自己也解不開;又或者設(shè)置了比劃甚至指紋解鎖,然后以為這樣的手機就是安全的了。是的,對于一般的人來說算安全了,可是對于2016-06-03- 也許你的手機ROOT只是為了安裝一款游戲,安裝一個工具。對我們普通人來說,ROOT代表著方便和自由,其實你不知道的是,它同時也為黑客帶來了侵犯你隱私的方便和自由??纯碦O2016-06-25
Android 應(yīng)用有哪些常見的安全漏洞?及修復建議
Android應(yīng)用會遇到各種各樣的漏洞,如何從細節(jié)上了解各種安全隱患,積極采取適當?shù)姆烙胧┍阕兊糜葹橹匾?,下面為大家詳細解讀十大常見的Android漏洞,僅供參考2009-06-28- 手機病毒是病毒的一個分支,雖然其存在只有短短數(shù)年,但在將來很可能會隨著3G的推廣而大量涌現(xiàn)。 病毒類型:手機病毒 病毒目的:破壞手機系統(tǒng),狂發(fā)短信等2009-06-28
- 現(xiàn)在想換個手機越來越麻煩,很多APP要重新下,手機里保存的寶貝也要轉(zhuǎn)移,有時候這些事情甚至讓我放棄了換個更好的手機的想發(fā),更不用說換手機號了。各種網(wǎng)站、郵箱、賬號2016-07-11