"伪中国移动client"--伪基站诈骗
2015-08-09 14:13
218 查看
一、简单介绍:
近日,百度安全实验室发现一款“伪中国移动client”病毒。犯罪分子通过伪基站方式大量发送伪10086的短信,诱导用户点击钓鱼链接;并在钓鱼页面诱导用户输入网银账号、网银password、下载安装“伪中国移动client”病毒;该病毒会在后台监控用户短信内容。获取网银验证码。 黑客通过以上方式获取网银账号、网银password和网银短信验证码后,完毕窃取网银资金。
伪基站发送的伪10086短信
图1. 伪10086短信
诱导用户领取现金红包界面
图2.诱导用户领取现金红包
二、钓鱼流程:
图3. 钓鱼流程图
三、伪移动client代码分析
1、该病毒启动后即诱导用户激动设备管理器。激活后隐藏图标,导致卸载失败,且用户不易察觉。
图4. 启动界面
2、使用apktool 、dex2jar反编译伪移动client均失败;代码进行了APKProtect保护,阻止了反编译软件,难以被反编译逆向分析。
图5. apktool 反编译失败
图6. dex2jar反编译失败
该病毒代码进行了“APKProtect”保护。
图7. APKProtect保护
3、脱壳后代码结构:
图8
4、点击应用图标启动后,病毒发送通知短信到13651823521,短信内容包括手机型号、安装时间,并隐藏图标,导致用户不易察觉。
图9. 发送通知短信并隐藏图标
5、该病毒拦截网银验证码,并窃取短信转发到指定号码13651823521:
图10. 窃取短信内容
四、眼下,这样的钓鱼诈骗的方式比較盛行,已经实用户被盗刷网银。中国移动也对这样的方式进行了警惕说明。
画画11. 中国移动官方网站提醒用户警惕“积分兑换现金”短信诈骗!
近日,百度安全实验室发现一款“伪中国移动client”病毒。犯罪分子通过伪基站方式大量发送伪10086的短信,诱导用户点击钓鱼链接;并在钓鱼页面诱导用户输入网银账号、网银password、下载安装“伪中国移动client”病毒;该病毒会在后台监控用户短信内容。获取网银验证码。 黑客通过以上方式获取网银账号、网银password和网银短信验证码后,完毕窃取网银资金。
伪基站发送的伪10086短信
图1. 伪10086短信
诱导用户领取现金红包界面
图2.诱导用户领取现金红包
二、钓鱼流程:
图3. 钓鱼流程图
三、伪移动client代码分析
1、该病毒启动后即诱导用户激动设备管理器。激活后隐藏图标,导致卸载失败,且用户不易察觉。
图4. 启动界面
2、使用apktool 、dex2jar反编译伪移动client均失败;代码进行了APKProtect保护,阻止了反编译软件,难以被反编译逆向分析。
图5. apktool 反编译失败
图6. dex2jar反编译失败
该病毒代码进行了“APKProtect”保护。
图7. APKProtect保护
3、脱壳后代码结构:
图8
4、点击应用图标启动后,病毒发送通知短信到13651823521,短信内容包括手机型号、安装时间,并隐藏图标,导致用户不易察觉。
图9. 发送通知短信并隐藏图标
5、该病毒拦截网银验证码,并窃取短信转发到指定号码13651823521:
图10. 窃取短信内容
四、眼下,这样的钓鱼诈骗的方式比較盛行,已经实用户被盗刷网银。中国移动也对这样的方式进行了警惕说明。
画画11. 中国移动官方网站提醒用户警惕“积分兑换现金”短信诈骗!
相关文章推荐
- hdu 3634 线段树求矩形面积并
- buffer
- 在建设未来网站
- 关于bgiError:graphics not initialized的问题
- 开发工具之MyEclipse用法基本总结(断点测试,快捷键,Junit测试)
- hash(哈希,散列)
- UVa - 424 Integer Inquiry
- Dcloud开发套件初学
- (medium)LeetCode 207.Course Schedule
- 第20章 多任务和多线程(1)
- 操作系统——中断、异常和系统调用比较
- NYOJ -11--奇偶数分离
- C语言:串匹配的一般方法
- 冷知识:你知道每个视窗都有的 [x] 是怎麽来的吗?
- c++ socket
- 02 俄罗斯方块
- windows下mysql忘记root密码的解决方法
- 安卓程序崩溃时的错误信息log至本地
- 【剑指offer】数字数组中只出现一次(2)
- 空页面的背景提示原理