新型仿冒”移动积分兑换”病毒分析

时间:2024-06-02 09:05:44

 2015年02月11日 17:16  2597

     移动积分可兑换现金礼包?先别着急相信!近期,不少用户反馈收到关于亲友发来的假冒中国移动积分兑换的短信,点击短信内的链接后银行卡资金被转移,甚至有用户损失高达2.8万元!阿里钱盾团队提醒您,这是一款新型的手机病毒,以亲友短信的形势送达用户手机中,收到此类短信请务必提高警惕!

      阿里钱盾团队分析发现,该病毒的功能是拦截、转发用户的短信,并将信息发送到到黑客手机号码,通过这种方式,黑客能够获取到用户的个人、银行帐号、支付验证码等个人隐私及资金相关的敏感信息。同时该款病毒能够向手机中所有的联系人发送一条积分兑换现金的病毒短信,短信中包含病毒软件下载的地址,从而诱骗用户的好友上当。因为是好友发来的短信,所以接收者都会放松警惕选择安装,当安装后病毒犹如多米诺骨牌一样不断传播。而且病毒还会通过隐藏图标方式避免用户发现,并且注册设备管理器增加用户卸载难度。

一、仿冒中国移动积分兑换病毒中毒流程

新型仿冒”移动积分兑换”病毒分析

二、仿冒中国移动积分兑换病毒代码分析

从病毒代码分析,其主要过程如下
一、 病毒启动。病毒启动顺序如下:

a) 后首先会启动一个和软件短信相关的Smsserver服务。

b) 注册设备管理器,达到增加用户卸载难度。

c) 打开一个伪装10086的网页。

d) 隐藏软件图标,达到让用户难以发现的目的。

e) 将手机系统版本等信息发送到黑客手机。

f) 给所有通讯录中的联系人号码发送虚假短信,因为是以机主的手机发送的短信,其他机主接收到短信后会更加相信。增加病毒快速扩散的目的。

新型仿冒”移动积分兑换”病毒分析

病毒启动顺序。

二、 注册短信接收广播,根据短信指令拦截短信、更换黑客接收短信号码。

a) 通过注册短信接收广播,病毒软件可以接收到其他人发给机主的所有短信,而且可以根据出黑客发来的指令进行其他操作。

b) 通知黑客“拦截短信服务已启动”。新型仿冒”移动积分兑换”病毒分析

注册短信接收广播

 新型仿冒”移动积分兑换”病毒分析

根据远程指令拦截短信。


 新型仿冒”移动积分兑换”病毒分析

通过远程指令中止拦截短信。


 新型仿冒”移动积分兑换”病毒分析

通过远程指令开始拦截短信。


新型仿冒”移动积分兑换”病毒分析
 

根据远程指令更换接收短信号码。

三、 给所有好友群发虚假短信。读取手机、SIM卡中的所有联系人好友,并给每个号码都发送一条虚假短信,诱骗好友点击下载病毒,以达到快速扩散传播的目的。
新型仿冒”移动积分兑换”病毒分析

给所有好友群发虚假短信。

新型仿冒”移动积分兑换”病毒分析

获取所有手机中的联系人号码。

新型仿冒”移动积分兑换”病毒分析
 
获取所有SIM卡中的联系人号码。

    

      阿里钱盾团队提醒您,切勿轻信积分兑换话费短信,尤其是带有不明链接、收集银行账号信息的短信,保障自身及家人朋友的财产安全。此外,对于此类手机病毒,阿里钱盾已经实现完美查杀。





本文来自合作伙伴“阿里聚安全”.