您当前的位置: 首页 > 游戏

超级短信大盗窃取敏感信息瑞星助手率先拦截iyiou.com

2019-03-11 17:47:23

“超级短信大盗”窃取敏感信息瑞星助手率先拦截

近日,瑞星云安全系统拦截到一个名为超级短信大盗的病毒。瑞星安全专家介绍,该病毒基于Android系统,伪装成熟人发送的EXCEL资料文档,引诱民下载点击。病毒运行后会收集用户中的联系人列表及短信信息,并将这些内容上传至黑客指定地址。一旦中毒,将面临巨额资费消耗、隐私信息泄露、各类络账号及银账号被盗等风险。目前,免费的瑞星安全助手(下载地址已可查杀该病毒,广大民应尽快安装,以免遭受不必要的损失。

图1:超级短信大盗伪装成EXCEL资料

图2:瑞星安全助手拦截超级短信大盗

超级短信大盗伪装成熟人发来的资料迷惑民,一旦被下载运行,该病毒就会收集本机号码、联系人列表及短信信息,并上传至黑客指定邮箱。此外,该病毒还会更改系统设置,并隐藏自身图标,普通民无法使用正常方式将其卸载。另外,在解析病毒代码时瑞星工程师发现了黑客存放非法所得信息的地址,并于时间将该地址内的所有信息予以清除。

图3:病毒向黑客指定地址上传的用户信息(已作清空处理)

瑞星安全专家指出,该病毒图标显示为EXCEL文档,具有较高的迷惑性。同时,病毒还会利用民的向所有联系人群发带有病毒下载链接的恶意短信,由于是熟人发来的资料,多数人都会掉以轻心,因此该病毒具备极高的自我传播能力,民应特别提高警惕。

针对上述情况,瑞星安全专家建议广大民近期应做好以下防护工作:

1. 不轻信、不点击任何人使用短信发来的链接。如必须使用查看链接,应致电对方核实链接的内容后再进行操作。

2. 使用大型正规APP商店作为下载渠道,不从论坛或不正规的站下载APP。

3. 安装专业的安全软件,没有安全软件的用户可以使用免费的瑞星安全助手(下载地址,养成良好的使用习惯,定期为扫描体检,远离病毒威胁。

一、病毒样本基本信息:

样本名称

病毒名称 超级短信大盗(ial.a)

包 名 RWdnjj

SHA1 719e10f9459ea0a380d3ddfad0cf3fc

MD5值 93f5e82f5d9a71b463703f45bad1f67d

Crc32 c49ad331

SHA-256 4a42cffb0df7e2ed1ddaef39298e52fa2a5d55b32c8b184b16d6d4c554d56147

文件大小 241 KB (246,830 字节)

签名证书 EMAILADDRESS=android@,

CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US

二、样本特征及传播方式:

该病毒伪装成正常软件诱导用户下载安装。安装运行后病毒会在后台私自发送指定内容的短信到指定号码、私自获取用户的短信息和联系人信息并回传至病毒作者的指定邮箱、运行后自动隐藏桌面启动图标、同时该病毒还会诱导用户激活系统设备管理器等,给用户造成严重的隐私泄露及资费消耗等的安全问题。

三、应用所需的敏感权限:

启动方式为:开机自启动

四、四大组件运用:

Activities:

inActivity

installer

inActivity

intent-filter action: LETE

intent-filter action: EW

intent-filter category: FAULT

bInterfaceActivity

installerActivity

intent-filter action: LETE

intent-filter action: EW

intent-filter category: FAULT

ientActivity

intent-filter category: UNCHER

intent-filter action: IN

poseSmsActivity

intent-filter action: ND

intent-filter action: NDTO

intent-filter category: FAULT

intent-filter category: OWSABLE

Service:

adlessSmsSendService

Service

Broadcast Receivers:

intent-filter action: VICE_ADMIN_ENABLED

armReceiver

intent-filter action: OT_COMPLETED

eceiver

intent-filter action: S_RECEIVED

intent-filter category: FAULT

intent-filter action: S_DELIVER

otReceiver

intent-filter action: OT_COMPLETED

sReceiver

intent-filter action: P_PUSH_DELIVER

静态分析:

一、代码级行为分析:

程序运行时分析:

该病毒通过伪装成正常软件资料的形式诱导用户安装

安装运行后,病毒会自动获取用户的号码、短信收件箱等用户的隐私信息

同时私自发送安装成功的指令短信到指定号码183****2483,并弹出诱导用户激活系统设备管理器的Activity界面,以实现用户正常将其卸载的目的。

[关键代码]

待用户点击取消或激活后,程序弹出错误提示

[关键代码]

点击确定后发现,桌面启动图标已经被自动隐藏,且能通过系统应用程序列表找到

并且替换了系统的卸载程序组件,当用户卸载时会自动弹出病毒作者设计的卸载界面,其实根本就没有卸载其程序

[关键代码]

在解决前面的那些事情的同时,程序已经开始向用户的中保存的联系人群发短信了,短信的内容如下:

并且,病毒作者有多个邮箱和多个下载地址,其不同的是,每个下载地址的后缀*孩提时代.apk都不一样

例如:

........等等等

,病毒作者将获取到的用户短信息、用户的联系人等的各种信息,通过Email的方式发送到病毒作者的指定的邮箱中,且全部为163vip邮箱

目前已截获的四个病毒作者的邮箱分别为

r******5@、r******6@、r******3@、r******8@

瑞星安全助手查杀截图:

目前,瑞星安全助手已可以全面查杀此病毒

总结:

至此,这个病毒就基本分析完了,其主要特点就是通过短信的形式向用户联系人群发带恶意链接的短信,并让中招的用户点击链接下载安装病毒程序,以实现恶意短信扩散传播的目的,同时还会吸取大量用户的联系人信息并发送到病毒作者事先注册好的163vip邮箱中,给用户造成直接且严重的隐私泄露等的安全问题。

建议:

现在,Android智能系统的碎片化越来越严重混乱,安全管理方面也没有统一的强劲的管理制度,使得病毒越来越多。就目前来讲,在Android应用电子市场等领域里几乎就没有让用户安装放心、使用放心的应用程序。病毒作者在设计及开发病毒的时候利用的技术手段也越来越精妙,使得用户防不胜防。

建议用户在安装和使用软件时如发现中不明原因的增加新应用,一定要警惕是否存在该类型恶意软件。并且用户在使用Android智能设备时,一定要在设备中安装一些官方认证版本的安全监测工具,实时防护用户的智能设备不受到恶意程序及病毒的侵害。另外,如需安装一些实用的且下载量较高的app,记住一定要到官方认证的电子市场或大型的且有官方认证Logo的站上进行下载安装,切勿随便在不知名的站或电子市场上下载。

病毒作者喜欢干的事儿就是将自己写的病毒程序捆绑到较热门的app应用程序中,并在后台进行大范围的恶意推广传播,使得用户的隐私及经济受到严重的威胁及损害。

医疗技术能力
2008年苏州旅游A+轮企业
2013年北京旅游D轮企业
推荐阅读
图文聚焦