手机病毒成黑客赚钱跳板，恶意软件让你怎么也删除不了！

【黑客联盟2017年04月18日讯】手机银行是一种非常便捷的方式让用户可以随时随地的完成交易。KPMG预测手机银行用户在2019年会增长到1.8亿。但是，随着手机银行涉及的金钱数额越来越大，攻击者要找到更多创造性的方式来窃取金钱。

就在上周，新加坡银行协会（ABS）发布了公告称手机银行恶意软件感染安卓智能机的数量大幅上升。我们很有兴趣深入研究这种新兴的威胁，之后我们发现了一个目标是手机银行app的安卓恶意软件，于是我们对它展开了进一步研究。



安装

这种移动端恶意软件通过其他恶意软件-一个独立的app或者用户登入恶意网站时进行他们不了解的下载更新进入到用户的手机中。

目前为止，我们把所有遇到的伪装过的样本归结命名为假冒的Adobe Flash Player，这个名字并不奇怪，大家都知道"Adobe Flash Player"这个梗（这个东西今年被曝出很多漏洞啊，还有0day什么的，大家都懂的）。Adobe Flash Player所需的权限要比同类普通应用高的多（事实上，在某些情况下安卓并不支持它）。Player最引人注目的权限就是被激活为设备管理员，也就是需要安卓的最高权限，这点很容易被恶意软件操纵。从本质上讲，设备管理员权限赋予了这款恶意软件禁止用户强制停止和卸载app的权利，它的进程决定了移除它非常困难。

木马病毒的配置数据

恶意软件检索和解码它的配置文件，编码，使用"@"解析，因此它可以以数组形式储存。

经过解码的配置数据显示了它的C&C服务器，目标的应用程序，银行列表，C&C命令等等。

每当恶意软件需要特定的数据，它可以通过对于数组来说作为索引的硬编码整数值进行检索。如下面的代码所示，整数值14和46指向带有"type"和"device info"值的配置数组的索引。我们还可以看到C&C服务器和作为感染设备标志符的代码值来回应。

我们再来看下清单文件，然后就能很快发现样本想要做什么了。我们很确定这款恶意软件的目标就像我们之前提到的一样，针对手机银行和移动支付用户。

这款恶意软件可以通过创建伪造银行窗口来进行网络钓鱼获取被然后用户的银行信息，如信用卡帐号、账单地址、银行用户名、PIN和密码等等。

接下来我们再看看恶意软件的核心功能及主要操作，尤其是执行数据窃取的一系列活动。



钓鱼技巧

当受害人打开合法手机银行或者支付app时，该恶意软件同时打开了它伪造的银行窗口，然后把两个窗口叠加，用户很难通过界面发现一个新的窗口被打开了。假冒的窗口和原生窗口非常类似。然而，当用户点击其他功能，比如编辑或者屏幕上的菜单功能时就能发现他们的区别了。在这里，假冒的界面没有任何反应，因为假的用户界面没法实现这些功能。

点击更多任务查看两种登录页面-第一个是合法的应用程序，第二个是伪造的Adobe Flash Player。

另外一些钓鱼窗口的例子，他们简直和合法窗口太像了！

收集登录凭证

像前面所说的，最重要的一部就是劝说受害者进入他们伪造的登录界面进行信息验证。因此，恶意软件需要做的第一件事就是决定确定用户使用的是什么公司的银行以及银行界面长什么样。

恶意软件定期检查设备上运行的app并通过getPackageName() API调用检索应用程序相关的界面名称然后把这个来自这个API的返回参数和下面这个目标应用程序名字列表进行比较！



如果匹配的应用程序被发现正在受感染设备上运行，负责回应的类会显示上映的伪造的登录页面。

下面的视频解释了一个真实的攻击情形，当用户的手机被感染时，他们的网上银行凭据是如何被窃取的。希望这个关于真实攻击的视频可以给你启示：

你可以看出，当真实的DBS应用被触发时，受害者将看到一个假冒的DBS登录画面。之后你可以看到受害者会被要求进入这个登录界面两次。接下来，受害者将被重定向到合法的DBS应用GUI。

在假的登录界面截取的登录凭证就会被恶意软件发送的C&C服务器上！

截取一次性密码（OTP）

银行经常把短信作为一次性密码（OTP）发送给用户作为用户ID和密码之外的登录凭证。获取这种额外的登录凭证需要攻击者进入受害者的设备获取接入OTP的权限来获取OTP。

恶意软件通过把自己注册成安卓操作系统的SMS广播接收方来完成OTP获取工作。在这种理论中，只要受害者在安装时授予了软件合适的执行权限，恶意软件就能很轻松的完成这项工作，这种权限在清单文件中被明确的指出了。因此，所有接收的SMS都可以被很容易的劫持，SMS的内容可以被发送到攻击者的C&C服务器。



持久性机制

我们还有兴趣了解恶意软件的持久性机制是如何工作的。在清单列表的表住下，我们快速定位了持久性机制的入口点-android.intent.action.BOOT_COMPLETED 和 android.intent.action.ACTION_EXTERNAL_APPLICATIONS_AVAILABLE。但是，分析反编译源码并不是一项简单的任务，因为攻击者把java代码进行了模糊处理。好消息是模糊的代码可以被轻易地确定，因为只有一小部分垃圾代码和实际代码进行了混合。

清理Service Starter代码中的垃圾代码后，我们意识到恶意软件看起来回避了俄罗斯用户。这可能表明，这段恶意代码来自俄罗斯。

结论

大多数安卓恶意软件app不会自动安装-他们需要用户参与来感染设备。所以如果你想让你的设备安全就需要在下载和更新应用程序时保持警惕。明智的做法是从Google Play商店这种安全的受信任的源来下载应用程序。



话虽这么说，恶意软件编写者也会提高钓鱼能力，让用户下载看起来像合法app的恶意软件并进行更新。安装安全软件更有助于保护用户的个人数据和设备上的在线交易资料。

主动检测恶意软件，如Android/Acecard.B!tr，C&C服务器就会被监测成Android.Acecard。

如何删除恶意软件

第一步：把你的手机或者平板设置为安全模式。按住手机电源键知道手机提示你关机。接下来，点击并按住电源关闭直到手机提示你重新启动到安全模式，然后点击确定。如果你的设备没有翻译，你可以百度一下，"你的手机型号如何进入安全模式"。

第二步：在安全模式里，打开设置菜单，滑到安全选项进入。查看名叫设备管理员的一栏，点击进入。现在它会显示设备的管理员列表。移除它作为设备管理员的一项，停用恶意软件app Adobe Flash Player作为设备管理员。

第三步：进入设置带但，滚到应用程序，确保有下载选项。点击恶意软件app Adobe Flash Player，打开app info（app信息），然后点击uninstall（卸载）并确定。

第四步：用正常模式重启手机



更多如何找到恶意软件的指示

通过使用如文件管理或者安卓SDK工具的adb第三方应用，你可以浏览额外的存储信息，如SD卡等，然后你可以查看隐藏文件（在文件名前加.）。然后你可以查看每个隐藏文件，找到类似于图19中的文件名。

从设备管理员列表中查看任意不知名的或者没见过的应用，如图21所示。

小编寄语

小编是果粉！因为苹果的iOS更加安全，安卓因为版本太多，机型不一，每种都有不同的机制，给黑客带来了更多可乘之机，怎么保护我们的隐私不受到侵害？我们的金钱不被窃取？我们的生活不受到影响？定期检查更新，及时进行系统更新；不使用root权限或者锁住root权限；定期杀毒；按时看freebuf，了解最新的漏洞资讯，查看自己的手机是否有中毒情况；在付款时不要贪图快而大意；自己加倍小心才能不给罪犯可乘之机。



手机中了顽固木马杀不掉怎么办

很多人现在给手机里面安装上了手机杀毒软件，但是狡猾的黑客们并不是那么容易对付的，制作出了更为难缠的顽固木马隐藏在手机中，很多人对于这种病毒都非常苦恼，不知道应该如何彻底的将这种病毒清理掉，我前几天也中过这样的病毒，刚找到了解决的办法！

1、对付顽固木马，先给手机获取ROOT权限是没错的，因为很多顽固木马就是依靠隐藏在手机系统软件中，让没有权限删除的用户无可奈何，为此现在很多手机都带有内置ROOT功能，所以在获取手机ROOT权限之前，先打开手机——设置——安全——看是否有ROOT权限开启功能。

2、如果你的手机没有内置的ROOT权限功能，那就只能通过软件强制获取了，先打开百度，在上面搜索【KINGROOT】找到这个工具。

3、找到之后，下载安装这个工具，然后把手机打开USB调试后连接到电脑上，打开KINGROOT，对你的手机开始一键ROOT操作就可以了。

4、手机获取好ROOT权限后，下一步就是对手机病毒的清理了，我常用的杀毒软件是腾讯手机管家，打开后在防护监控功能界面找到【病毒查杀】。



5、看到这一步后，不要急匆匆的去想要杀毒，点击右上角的这个齿轮标志，可以打开一个设置里面，在里面有一个【顽固木马专杀】功能点击加载。

6、加载好之后，下一步自然就是给你的手机杀毒了，先点击病毒扫描，等扫描完成之后，再点病毒查杀，把手机里面的病毒清除杀掉就可以了。

移动银行木马活跃度升级 恐成黑客攻击跳板

近日，亚信安全网络安全监测实验室在监测统计分析中发现，移动恶意软件呈现爆发趋势，银行木马威胁尤为严重，这与当下贪婪的不法分子追逐金钱实质利益息息相关。其中一种被命名为“Svpeng”的移动银行木马不仅会窃取受害者的账号密码，还会控制设备窃取短信、通讯录，甚至会锁定设备勒索赎金。亚信安全技术总经理蔡昇钦认为，“当前BYOD大行其道，恶意软件爆发的移动设备恐将成为黑客进入企业网络环境的跳板，企业应当提高警惕”。



移动设备恶意威胁爆发升级

亚信安全2016年移动威胁报告显示，约有 67% 银行木马威胁都是 Svpeng及其变种带来的 ，其单月威胁的侦测数量最高达 80,000个 以上，俄罗斯、中国、澳大利亚等国都是Svpeng肆虐的重灾区，大量用户都由于感染了该木马而导致重要的个人信息被窃取，个人资产也蒙受巨大的损失。

Svpeng 已经超越了银行木马的范畴，成为了名副其实的勒索软件。一方面，Svpeng 会通过网络钓鱼的手法，窃取受害者手机上的短信、通讯录、通话记录，并骗取用户的信用卡账号、密码；另一方面，该移动银行木马会试图锁定用户的移动设备锁屏界面，以此要挟用户、勒索赎金。

亚信安全的报告还显示，这种威胁手段升级的行为，并非Svpeng 这一个例。事实上，移动恶意软件的攻击技术与攻击策略正在变得越来越复杂。例如名为“FakeToken”的移动银行木马在成功潜入设备之后就会自我隐藏，并且通过幕后操控来破解银行的双重认证机制，进而窃取受害者的信用卡资金。



移动设备恐成黑客攻击跳板

移动设备的飞速普及是移动威胁爆发的一个原因，目前移动互联网的流量已经超过网络流量的一半，通过手机消费、娱乐成为主流，手机已经成为用户的资产流通核心平台，故而招致了大量不法分子的窥视。另外，企业对BYOD行为的不断接纳，也让移动设备逐渐成为办公利器，融入了企业网络之中，为黑客的攻击行为提供了新的入口。

尤其对于引入了商用移动设备或是部署了BYOD策略以及那些移动设备可以随意“出入”的企业来说，Svpeng 带来的威胁要比想象中的更加严重。由于当下很大一部分移动设备存储有企业数据，一旦被攻破，这些数据很有可能就会被不法分子获取。而且，由于企业数据的价值更大，因此一旦其被勒索软件锁死的时候，企业往往不得不支付赎金，这也助长了不法分子对企业实施勒索攻击的气焰，移动设备正在演变成为黑客进攻企业网络的跳板。



亚信安全移动安全方案 安全隐私两不误

蔡昇钦表示：“移动恶意软件的爆发以及威胁手段的快速进化升级，给企业带来的可能不仅是数据的泄露，甚至还会引发更加严重的APT攻击。”然而，传统的安全防护手段很难有效管控员工移动设备，这让黑客倾向将移动设备作为单点突破的目标，进而潜伏到企业内网之中横向移动到其它设备，伺机窃取企业的机密数据。大规模、精心策划的移动APT攻击可能不再遥远。

对此，亚信安全建议企业警惕移动安全威胁，增强在移动安全上的投入。不仅要加强对员工的安全教育，要求员工严格按照移动安全规范来使用移动设备，还要强化对移动安全态势的追踪，及时发现、修补漏洞，避免安装未经过授权的应用程序，以全面降低感染移动恶意软件的风险。



虽然很多企业已经认识到了BYOD的这种巨大安全风险，但是制定令人满意的安全策略却困难重重。其中很重要的一方面可能是企业员工对隐私权益的注重，因为有些企业通过MDM（移动设备管理）的方式来进行管控，但是这种方式将不可避免的对员工的移动设备以及应用进行监控，容易导致员工产生抵触心理。

一些金融和政府机构则选择了亚信安全虚拟手机VMI，该产品将为每名员工创建一个“托管虚拟工作区”，员工应用程序或者数据不会停留在客户端设备上，而是会运行在企业掌控的数据中心的虚拟机上。这样既能够有效防范移动恶意软件带来的安全威胁，同时还能照顾到员工的隐私权益，一举两得。