【Android病毒分析报告】 - KorBankDemon “吸金幽灵”打劫银行

本文章由Jack_Jia编写，转载请注明出处。

文章链接：http://blog.csdn.net/jiazhijun/article/details/12112733

作者：Jack_Jia 邮箱： 309zhijun@163.com

近期百度安全实验室发现一款“吸金幽灵“新病毒，该病毒专门用于窃取用户金融类账户信息。根据监控到的数据，目前该病毒仅针对韩国用户，但不能排除是否存在针对其它国家用户的可能性。该病毒伪装成Google Store诱骗用户下载，安装成功运行后，在应用程序列表中自动隐藏应用图标。使用户无法感知程序的存在，从而长期驻留在用户设备中。运行时动态检测运行环境，如果运行在模拟器环境则不触发恶意行为，从而躲避动态分析系统的检测。

该病毒恶意行为如下：

1、发送特定短信到特定号码或所有联系人。

2、卸载官方金融类客户端。

3、自动下载山寨金融类客户端并提示用户安装。

4、拦截接收到的短信息并上传到服务器并接收攻击者发送的短信指令。

5、上传设备联系人信息到服务器。

下面对该病毒样本进行简单分析：

样本MD5 ：c11e00312ef66a74559933bc77c3f027

应用包名：com.google.game.store

1、首先该病毒在AndroidManifest.xml文件注册大量系统频发广播，以便恶意组件能够顺利运行。



恶意程序代码树结构：



2、病毒恶意组件功能及交互图

该病毒窃取银行信息的基本思路是：

1、病毒根据设备安装的银行客户端类型下载相应的山寨银行客户端。

2、提示用户升级银行客户端，诱骗用户卸载正版银行客户端，并安装山寨银行客户端。

2、通过山寨银行客户端窃取用户输入的银行卡号、密码等账号信息。

3、病毒拦截银行发送的短信交易验证码并发送到服务器。

这样攻击者就获得了用户银行卡号、密码、交易验证码等所有登录及验证信息。后果很严重！！！



3、恶意代码片段截图

（1）上传设备联系人信息



（2）发送短信到所有联系人和特征号码





（3） 拦截短信并上传短信息



（4）卸载官方金融类客户端并下载安装山寨金融类客户端（用于获取用户金融账户、密码等信息）

官方和山寨客户端包名对应关系：



根据设备已安装金融类客户端不同下载相应山寨客户端。