|
近期实验室发现一款“支付宝大盗”病毒。该病毒通过二次打包嵌入到正常应用中,病毒运行后,自动在后台偷偷上传手机上的所有短信,并且当手机收到新短信时,该病毒会判断短信内容中是否包含“支付宝”、“淘宝”、“taobao”、“银”、“行”、“农信”等关键字,如果包含,该病毒将会屏蔽此类金融支付类短信。
该病毒样本有以下两点需要安全分析人员注意:
1、采用“梆梆加固”加固恶意代码,防止分析人员静态分析和动态调试。
该病毒为了逃避逆向分析和安全厂商病毒检测,通过“梆梆加固”的保护来达到防止逆向分析和动态调试的目的。加固服务提供商需要加强对待加固应用的安全审计,以免被恶意开发者利用。
2、恶意代码+社会工程学配合攻击实现窃取支付宝资金的目的。
获取用户手机号和身份证号码
通过对恶意代码调用逻辑的分析,该病毒针对的就是支付宝。但是仅仅通过拦截短信时无法攻破支付宝的安全体系的。
在对该恶意样本分析过程中,安全人员发现一个未被调用的“钓鱼”Activity。该Activity通过Webview加载构建的Html页面,诱骗用户输入姓名、身份证号、手机号等敏感信息,当点击“立即认证”后,该页即发送用户输入的真实姓名、手机号码、身份证号等信息到恶意服务器。页面截图如下:
但是这部分代码并未被调用,身份证号是支付宝找回登录密码和重置支付密码必须提供的信息,那么恶意攻击者是如何达到盗取支付宝钱财的呢?接下来安全分析人员接到的一个来自00909007980打来的电话才解开谜团:
“我这里是人民法院,有您一张法院的传票,***拨9人工帮助”
“请告诉我您的姓名,帮助你查询是否有您的传票”
“….”
“请告诉我您的身份证号,以确认传票是您本人的”
“…..”
"请留下您的常用邮箱.."
"...."
这个诈骗电话的效果和“钓鱼Activity”实现了相同的功能。如果恶意攻击者通过诈骗电话成功拿到了身份证号,接下来就可以配合恶意代码,突破支付宝的安全防线了:
|
