支付宝木马安卓短信窃取者分析
前言
最近关于”点了一条短信 银行卡被盗刷好几千”之类的银行卡盗刷、各类理财账号被莫名转账等新闻越来越多。在这些案例中,非常多受害者都提到手机、验证码等关键词。是的,当前智能手机接收验证码用于更改密码、转账等操作,已经被用在各种产品中。如果这类重要短信被黑客偷偷上传并利用,后果不甚设想,很可能就会成为上面新闻报道的案例。
下文就分析这样一个针对支付宝用户的木马App, 它伪装成安全软件,运行时会窃取各类重要短信并上传到指定服务器。
以下内容翻译、整理自https://www.zscaler.com/blogs/research/fake-security-app-alipay-customers-android-sms-stealer
伪装成支付宝安全控件的木马App
应用名:安全控件
Md5 : fad55b4432ed9eeb5d7426c55681586c
包名 : com.bing.receive**
此木马起名”安全控件”并使用支付宝应用图标,使受害者误认为它是一个用于增强支付宝安全的应用。运行之后,木马会隐藏自身图标。同时,木马会注册多个services, 正是这些services窃取短信,并发送到命令&控制(C&C)服务器。
技术细节分析
安装之后,此木马看起来就像是阿里系的应用
一旦受害者点击运行之后,将出现一个引导页面。3秒之后,这个页面与程序图标都会消失。
此时受害者可能认为这个应用崩溃了,然后已经被安卓系统自动卸载。其实此时木马还在后台运行,并且通过services达到它窃取的目标。
service是一种可以运行在后台并执行长时间任务的Android组件。此木马使用以下services:
- MyService
- DealService
- TestService
同时还会注册一些broadcast receivers。Broadcast receivers是一种根据特定事件执行相应动作的Android组件。此木马注册了以下事件:
- System Boot Receiver
- Massage Receiver
- Screen-On Receiver
在MainActivity的方法中,此木马实现隐藏图标、启动MyService服务.
MyService运行之后,马上初始化其它任务,注册SystemBootReceiver与MassageReceiver。
当接收到短信时,MassageReceiver就会被触发。MassageReceiver的主要任务就是监控短信的接收,并获取短信的内容。一有获取到短信内容,就会调用DealService。
DealService主要任务就是将短信内容发送到命令&控制服务器。它启动一个匿名task, 以post的方式将短信内容发送到服务器。
通过抓包,可以清晰看到这一过程:
SystemBootReceiver在系统启动时就会被触发,这样就可以保证木马在任何时候都是运行的。它的主要任务就是每一次启动时,启动MyService:
总结一下此木马的工作流程:
如何卸载
因为图标已经被隐藏,所以可以通过以下步骤卸载:
- 设置–>应用
- 找到木马并点击
- 点击“卸载”选项
- 点击“确定”
怎样预防这类木马
建议用户只在受信任的应用商店下载App, 不要安装不名来源的App. 可以禁用”设置”中的“允许安装未知来源应用”,这样未知来源的App就不能安装了。
支付宝木马安卓短信窃取者分析相关推荐
- Android应用源码安卓短信拦截木马项目源码
温馨提示:本资源由源码天堂整理提供下载转载时请留下链接说明:http://code.662p.com/view/9174.html 安卓短信拦截木马源码主要功能就是开机后台启动,拦截本机收到的短信并且 ...
- 安卓短信功能全解:调用系统短信功能发送短信、彩信,使用SmsManager发送短信,并监听发送短信的投递情况,使用广播接收器监听接收的短信。
全栈工程师开发手册 (作者:栾鹏) 安卓教程全解 安卓短信功能全解:调用系统短信功能发送短信.彩信,使用SmsManager发送短信,并监听发送短信的投递情况,使用广播接收器监听接收的短信. 首先需要 ...
- 安卓短信加密_发短信控制车辆!苹果发布ios14,手机可作车钥匙
1.苹果宣布今后iPhone和Apple Watch可以作为开启和启动车辆的数字钥匙: 2.支持该系统的第一款汽车将会是宝马5系: 3."车钥匙"功能将于下月推送,iOS13上也可 ...
- android 短信字体,安卓短信字体 安卓短信字体大小设置
1.先以小米手机为例,点击桌面上的"设置". 2.在设置里点击"字体大小". 3.进入字体设置页面,将下面的小圆圈向右滑动,字体就变大啦,当然向左就变小. 4. ...
- 伪装成抖音国际版Tiktok的短信蠕虫(病毒分析)
概述: 近期安全员监测到一款仿冒Tiktok的短信蠕虫,该短信蠕虫最明显的特点就是针对Android系统版本高于6.0以上的设备,由于Android版本的更新迭代,现在大部分设备已经更新到较高的版本, ...
- 身边随时可能发生的网络攻击,短信拦截码分析!
小编不定时干货分享来了,之前拿到的几个恶意样本,简单分析来学习一下 冒充10086发过来的短信,要积分兑换现金,然后点进去链接要输入银行卡密码 这里我们点激活 然后退回桌面 一会儿这个app就自己消失 ...
- 简易安卓短信收发应用
刚学安卓,最近在写一个短信的收发程序,但是在模拟器上面可以收发,在真机上面却不行,解决办法: 对于收短信,由于现在很多手机系统对短信.电话等状态的读取设置了很多权限,需要手动去打开(目前不会用代码申请 ...
- android还原短信应用,安卓短信恢复免费软件(恢复教程)
手机是我们生活中常见的通讯工具,基本上是人手一部.大家在使用手机的过程难免会遇到各种失误的情况,有些人会把手机中的短信误删,难免被删掉的短信还有没有可能恢复呢?答案是可以的,这里就给大家介绍一个恢复手 ...
- 安卓短信加密_【安卓用户】通讯录同步助手使用教程
小编心语 大家好,本公众号为公益账号,无任何收费.所有工作人员作为美丽乡村支教项目的公益使者,始终本着"用大爱做小事",关心山区孩子教育,帮助弱势群体,希望您也能伸出援手,慷慨解囊 ...
- Mob SDK实现安卓短信验证
Mob短信验证SDK是一款完全免费的短信服务SDK,查阅后发现大多数移动开发者都使用此SDK进行开发,本人使用后也得到了较好的体验. 一 要使用此SDK,首先要在Mob官网注册一个账号,获得使用此服务 ...
最新文章
- 使用Clonezilla克隆系统
- 判断 多选框是否有选择 适用于批量操作
- DOM下的节点属性和操作小结
- java生产问题快速定位_生产环境如何快速跟踪、分析、定位问题-Java
- python 向量_关于Python中的向量相加和numpy中的向量相加效率对比
- AI+药物研发:人工智能赋能新药研发(人工智能应用案例)
- autoencoder自编码器原理以及在mnist数据集上的实现
- LeetCode 484. 寻找排列(找规律+贪心)
- ubantu 软件安装教程汇总(持续更新)
- iOS NSString URLencode
- 参考文献格式字号字体_参考文献标准格式字体
- 土木学matlab还是python_五行属土的字大全
- 上位机控制PWM占空比
- 文本搜索引擎lucene
- 用telnet登录163服务器发邮件
- 【python小程序】蜜雪冰城小卖铺
- python按位置从字符串提取子串的操作是_Python基础-字符串操作和“容器”的操作...
- 沁恒CH552G实现最小系统[沁恒8位机MCU最小系统]
- 软件测试(四)--提交一个标准的BUG应该包含的项
- mmdet3d纯视觉baseline之数据准备:处理waymo dataset v1.3.1
热门文章
- 8080端口被占用如何杀掉进程
- c语言case用多重语句,switch多重选择
- poj:2455 Secret Milking Machine 秘密挤奶机(二分+最大流)
- java 同比环比_数据相关概念同比,环比
- 152位高校教师接龙晒工资,给打算入高校的博士们参考!
- fighter_zzh_Steam控制器,即将推出Linux的Street Fighter V以及更多开放式游戏新闻
- vue 播放m3u8视频
- 青囊如可授 从此访鸿蒙的意思,《坛滴槐花露,香飘柏子风。》
- 微信接口报错:40163
- 微星笔记本每次都进bios